las ideas expuestas en este libro son responsabilidad del
TRANSCRIPT
1
ADMINISTRACIÓN DE POLÍTICAS DE SEGURIDAD EN UNA RED DE DATOS
BAJO UNA ESTRUCTURA DE RED DEFINIDA A TRAVÉS DE LA UTILIZACIÓN DEL
SERVIDOR PFSENSE.
WILLIAM ALEXANDER ÁLVAREZ RINCÓN
COD. 3072115
TUTOR: Ingeniero Carlos Enrique Montenegro Narváez.
FACULTAD DE INGENIERIA ELECTRÓNICA
UNIVERSIDAD SANTO TOMÁS
BOGOTÁ
2014
2
Las ideas expuestas en este libro son responsabilidad del autor.
3
Nota de aceptación:
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
Firma del director / Tutor del trabajo de grado
________________________________
Firma del jurado 1 del trabajo de grado
________________________________
Firma del jurado 2 del trabajo de grado
________________________________
Firma del decano de la facultad
Bogotá, septiembre de 2014
4
CONTENIDO
1. GLOSARIO 10
2. RESUMEN 12
3. INTRODUCCIÓN 13
4. PLANTEAMIENTO DEL PROBLEMA 14
5. FORMULACIÓN DEL PROBLEMA 16
6. JUSTIFICACIÓN 17
7. OBJETIVOS 19
7.1 OBJETIVO GENERAL 19
7.2 OBJETIVOS ESPECÍFICOS 19
8. METODOLOGIA 20
9. MARCO TEORICO 21
CAPÍTULO I 32
10. REQUERIMIENTOS BASICOS DE SEGURIDAD EN UNA RED DE DATOS 32
10.1 PRIORIDAD DE LA SEGURIDAD EN UNA RED DE DATOS 32
10.2 TOPOLOGÍA DE RED 33
10.3 ESTABLECIMIENTO DE REQUERIMIENTOS 34
10.3.1 CONTROL DE ACCESO 35
10.3.2 DOCUMENTACIÓN 35
10.3.3 CONTROL DE TRÁFICO 36
10.3.4 CONTROL DE ACTUALIZACIONES 36
5
CAPITULO II 38
11. POLÍTICAS DE SEGURIDAD 38
11.1 DEFINICIÓN DE UNA POLÍTICA DE SEGURIDAD 38
11.2 CARACTERÍSTICAS DE UNA POLÍTICA 39
CAPITULO III 43
12. CREACIÓN DE POLITICAS DE SEGURIDAD 43
12.1 CONTRASEÑAS 43
12.2 CONTROL DE ACCESO 45
12.3. DOCUMENTACIÓN 47
12.4. CONTROL DE TRÁFICO 48
12.5. CONTROL DE ACTUALIZACIONES 48
12.6. USO DE LA COMPUTADORA 49
12.7. RESPALDO 50
CAPITULO IV 52
13. PUESTA EN PRÁCTICA DE LAS POLÍTICAS EN LA RED 52
13.1 CREACIÓN DE LOS CLIENTES 52
13.2 CREACIÓN DEL SERVIDOR PFSENSE 53
13.3 DISEÑO DE LA RED EN GNS3 56
13.4 CONFIGURACIÓN DE LOS DISPOSITIVOS DE LA RED 64
13.4.1 SWITCH 1 (SW 1) 64
6
13.4.2 ROUTER 1 65
13.4.3 ROUTER 2 67
13.5 SERVIDOR PFSENSE 69
13.5.1 SERVICIO SQUID 70
13.5.2 INSTALACIÓN DE PFSENSE 70
14. IMPLEMENTACION DE POLÍTICAS EN PFSENSE 79
14.1 CONTROL DE ACCESO 80
14.2 RESTRICCIÓN POR TAMAÑO DE DESCARGA DE LA PÁGINA 82
14.3 INGRESO A INTERNET A TRAVÉS DE AUTENTICACIÓN 84
14.4 RESTRICCIÓN POR IP 88
14.5 RESTRICCIÓN POR DOMINIOS 92
14.6 RESTRICCIÓN POR TIEMPO 93
14.7 RESTRICCIÓN POR EXPRESIONES 94
15. CONCLUSIONES 97
16. REFERENCIAS 99
7
LISTA DE TABLAS
pág.
TABLA 1. DIRECCIONES IP DE REDES VIRTUALES. ........................................................................ 55
TABLA 2. DIRECCIONES IP DE LOS ADAPTADORES DE RED .............................................................. 56
TABLA 3. DISTRIBUCIÓN DE VLANS EN EL SWITCH 1 ........................................................................ 64
TABLA 4. DIRECCIONES IP DE LAS INTERFACES DE PFSENSE ............................................................. 72
LISTA DE FIGURAS
pág.
FIGURA 1. TOPOLOGÍA DE RED DISEÑADA EN GNS3.................................................................... 34
FIGURA 2. INTERFACE DE VMWARE WORKSTATION ................................................................... 52
FIGURA 3. EDICIÓN DEL TIPO DE RED .......................................................................................... 53
FIGURA 4. SELECCIÓN DEL SISTEMA OPERATIVO Y KERNEL ......................................................... 54
FIGURA 5. ASIGNACIÓN DE REDES VIRTUALES AL SERVIDOR ....................................................... 55
FIGURA 6. ADAPTADORES DE RED VIRTUALES DE WINDOWS ....................................................... 56
FIGURA 7. INTERFACE DE GNS3 ................................................................................................ 58
FIGURA 8. HERRAMIENTA CLOUD) ............................................................................................. 58
FIGURA 9. INTERFACES DEL ROUTER 1. ...................................................................................... 59
FIGURA 10. CONFIGURACIÓN DE LA CLOUD CLIENTE 1 ............................................................... 59
FIGURA 11. ADICIÓN DE NUEVO ADAPTADOR DE RED “LOOPBACK” ............................................. 60
FIGURA 12. ADICIÓN MANUAL DEL ADAPTADOR ......................................................................... 60
FIGURA 13. TIPO DE ADAPTADOR ............................................................................................... 61
FIGURA 14. SELECCIÓN DE ADAPTADOR ..................................................................................... 61
FIGURA 15. ADAPTADOR CREADO CORRECTAMENTE ................................................................... 62
FIGURA 16. COMPARTIR INTERNET CON LOOPBACK .................................................................... 62
FIGURA 17. RED CREADA EN GNS3 ............................................................................................ 63
FIGURA 18. CONFIGURACIÓN DEL SWITCH 1 ............................................................................... 64
FIGURA 19. STARTUP-CONFIG DEL ROUTER 1, DHCP .................................................................. 65
FIGURA 20. CONFIGURACIÓN DE LAS INTERFACES DEL ROUTER .................................................. 66
FIGURA 21. CONFIGURACIÓN DE LAS VLAN EN EL ROUTER ....................................................... 67
8
FIGURA 22. ENRUTAMIENTO DEL ROUTER 1 ................................................................................ 67
FIGURA 23. CONFIGURACIÓN DE LAS INTERFACES DEL ROUTER 2 ................................................ 67
FIGURA 24. ENRUTAMIENTO DEL ROUTER 2 ................................................................................ 68
FIGURA 25. VERIFICACIÓN DE CONECTIVIDAD DEL ROUTER 2 CON INTERNET ............................... 68
FIGURA 26. CONFIGURACIÓN DE LAS INTERFACES DEL SERVIDOR PFSENSE ............................... 70
FIGURA 27. CONFIGURACIÓN DE LAS INTERFACES DEL SERVIDOR PFSENSE ............................... 71
FIGURA 28. MENÚ DE CONFIGURACIÓN DE PFSENSE ................................................................. 71
FIGURA 29. CONFIGURACIÓN DE LA INTERFACE WAN ................................................................ 72
FIGURA 30. RESUMEN DE CONFIGURACIÓN DE PFSENSE ........................................................... 73
FIGURA 31. INTERFACE DE USUARIO PARA ACCEDER A LA PÁGINA WEB ....................................... 73
FIGURA 32. ADICIÓN DE REGLAS AL FIREWALL DE PFSENSE ..................................................... 74
FIGURA 33. REGLA DE FIREWALL PARA ACCESO EXTERNO A PFSENSE ....................................... 74
FIGURA 34. REGLA DE FIREWALL PARA LA DMZ ........................................................................ 75
FIGURA 35. CONFIGURACIÓN DE LA LAN EN PFSENSE ............................................................. 75
FIGURA 36. ACCESO A LOS SERVIDORES DNS QUE UTILIZARA PFSENSE .................................... 76
FIGURA 37. CONFIGURACIÓN DE LOS SERVIDORES DNS QUE USARA PFSENSE ........................... 77
FIGURA 38. VERIFICACIÓN DE CONECTIVIDAD DEL SERVIDOR ..................................................... 77
FIGURA 39. PING DESDE PFSENSE HACIA INTERNET .................................................................. 78
FIGURA 40. CONFIGURACIÓN DE LOS CLIENTES PARA ACCEDER A INTERNET ................................ 78
FIGURA 41. SERVICIO PROXY ..................................................................................................... 79
FIGURA 42. CONFIGURACIÓN GENERAL DEL SERVIDOR ............................................................... 79
FIGURA 43. BLOQUEO DE WWW.PLAYBOY.COM .......................................................................... 80
FIGURA 44. CONFIGURACIÓN DE LOS NAVEGADORES DE INTERNET .............................................. 80
FIGURA 45. ACCESO A TRAVÉS DE PROXY ................................................................................... 81
FIGURA 46. SITIOS WEB PERMITIDOS .......................................................................................... 81
FIGURA 47. VERIFICACIÓN DE LA RESTRICCIÓN DE PLAYBOY ..................................................... 81
FIGURA 48. ACCESO A WWW.SOFTONIC.COM .............................................................................. 82
FIGURA 49. ACCESO A WWW.FACEBOOK.COM............................................................................. 82
FIGURA 50. RESTRICCIÓN POR TAMAÑO DE DESCARGA DE LA PÁGINA ......................................... 83
FIGURA 51. VERIFICACIÓN DE LA RESTRICCIÓN POR TAMAÑO ..................................................... 83
FIGURA 52. VERIFICACIÓN DE RESTRICCIÓN POR TAMAÑO .......................................................... 84
9
FIGURA 53. DESACTIVACIÓN DEL PROXY TRANSPARENTE ........................................................... 85
FIGURA 54. SELECCIÓN DEL MÉTODO DE AUTENTICACIÓN ........................................................... 85
FIGURA 55. ADICIÓN DE NUEVO USUARIO ................................................................................... 86
FIGURA 56. CONFIGURACIÓN DEL NUEVO USUARIO ..................................................................... 86
FIGURA 57. PUERTO PARA ACCEDER HACIA INTERNET A TRAVÉS DEL PROXY ............................... 87
FIGURA 58. CONFIGURACIÓN DEL NAVEGADOR POR PUERTO ....................................................... 87
FIGURA 59. AUTENTICACIÓN PARA ACCEDER A INTERNET ........................................................... 87
FIGURA 61. DIRECCIÓN IP DEL CLIENTE 1 ................................................................................... 89
FIGURA 62. RESTRICCIÓN POR IP EXITOSA .................................................................................. 89
FIGURA 63. DIRECCIÓN IP DEL CLIENTE 2 ................................................................................... 90
FIGURA 64. CLIENTE 2 ACCEDIENDO A INTERNET ....................................................................... 90
FIGURA 65. INGRESANDO A SQUIDGUARD .................................................................................. 91
FIGURA 66. HABILITACIÓN DEL SERVICIO SQUIDGUARD ............................................................. 91
FIGURA 67. CONFIGURACIÓN DE LA CATEGORÍA DE RESTRICCIÓN................................................ 92
FIGURA 68. ASIGNACIÓN DEL CLIENTE AL GRUPO “WEB_ACL” ................................................. 92
FIGURA 69. DEFINICIÓN DE LA REGLA DE ACCESO PARA EL GRUPO .............................................. 93
FIGURA 70. RESTRICCIÓN POR GRUPO ........................................................................................ 93
FIGURA 71. RESTRICCIÓN POR TIEMPO ....................................................................................... 94
FIGURA 72. RESTRICCIÓN POR EXPRESIONES............................................................................... 95
FIGURA 73. VERIFICACIÓN DE RESTRICCIÓN UNO ........................................................................ 96
FIGURA 74. VERIFICACIÓN DE RESTRICCIÓN DOS ........................................................................ 96
10
1. GLOSARIO
BACKUP Copia de seguridad
CACHÉ Búfer especial de memoria que poseen los ordenadores.
DATOS Representación simbólica (numérica, alfabética, algorítmica, etc.) de un atributo o
variable cuantitativa.
DHCP Protocolo de Configuración Dinámica de Host (Dynamic Host Configuration
Protocol)
DNS Domain Name System
FTP File Transport Protocol
GB Giga Byte
HOST Es un terminal por el cual se puede tener acceso a la red
HTML Lenguaje de Marcas de Hipertexto (HyperText Markup Language)
HTTP Protocolo de transferencia de hipertexto (Hypertext Transfer Protocol).
ICMP Protocolo de Mensajes de Control de iternet (Internet Control Message Protocol).
IIS Servicios de Información de Internet (Internet Information Services).
IP Protocolo de internet (Internet Protocol).
IRC Retransmisión de Chat por Internet (Internet Relay Chat)
ISO Organización Internacional de Normalización.
ISP Proveedor de servicios (Internet Service Provider).
LAN Red de área local. (Local Area Network)
MAN Metropolitan Area Network
NAT Traducción de Dirección de Red (Network Address Translation).
NTFS Nueva Tecnología de Sistema de Archivos (New Technology File System)
PHP Procesador de Hipertexto (Hypertext Preprocessor)
PING Buscador o rastreador de paquetes en redes (Packet Internet Groper),
PROXY Dispositivo que realiza una acción en representación de otro
RAM Memoria de Acceso Aleatorio (Random Access Memory)
SFTP Protocolo de Transferencia de Archivos Seguro (Secure File Transfer Protocol)
SMTP Protocolo simple de transferencia de correo (Simple Mail Transfer Protocol)
SNMP Simple Network Management Protocol
11
SOCKS Protocolo de Internet que permite a las aplicaciones cliente-servidor usar de
manera transparente los servicios de un firewall de red.
SRAM Memoria Estática de Acceso Aleatorio
SSL Capa de conexión segura (Security Sockets Layer).
TCP Protocolo de Control de Transmisión (Transmission Control Protocol).
TCP/IP Transmission Control Protocol/ Internet Protocol
URL Localizador de recursos uniforme (Uniform Resource Locator).
USUARIO Persona o personas que van a manipular de manera directa un producto
de software o información.
VMs Máquina virtual (Virtual Machine)
VPS Servidor Virtual Privado (virtual private server)
WAN Wide Area Network (Red de Área Extensa)
WEB Es una colección de páginas de internet relacionadas y comunes a un dominio de
Internet.
WLAN Wireless Local Area Network
12
2. RESUMEN
El documento presenta el desarrollo investigativo sobre la problemática que actualmente
existe en el mudo acerca de la seguridad de la información, así como de los efectos que tendría el
no preparar una red de datos contra las diferentes amenazas que van surgiendo con la evolución
de la tecnología o incluso contra las que ya existen actualmente; se mencionan algunos hechos
ocurridos durante la historia que hicieron tomar consciencia de la importancia de la seguridad en
las redes de datos no solo a nivel internacional sino a nivel nacional.
Por tal razón, en el documento se analizan algunos de los requerimientos básicos de seguridad
en una red de datos a nivel lógico, planteando el uso de una topología de red en particular en la
cual se proponen y ponen en práctica algunas políticas de seguridad que puedan ser
implementadas a través de la utilización del servidor PFSENSE con el fin de administrar la
seguridad de dicha red de forma accesible y que ésta pueda ser tomada como base para la
implementación en una empresa en general.
Es así como después de plantear las políticas de seguridad de la red de acuerdo a uno
requerimientos básicos, estas políticas se ponen en práctica en la red a través de la utilización de
una simulación en GNS3 y VM Workstation.
Palabras clave: Políticas, PFSENSE, PROXY, Seguridad.
13
3. INTRODUCCIÓN
Las Tecnologías de Información y las comunicaciones se han convertido en algo inherente a la
sociedad puesto que son el medio por el cual todas las personas del mundo se pueden relacionar
entre sí, sin siquiera conocerse personalmente. Esto ha permitido que las empresas cada vez más
orienten la estrategia de sus negocios para utilizar aún más la tecnología principalmente el uso de
tecnologías de la información y la comunicación, facilitando no solo la expansión del negocio
sino que además mejorando el grado de comunicación con el cliente.
Debido a la masificación de las redes de computadoras para el uso doméstico y comercial,
estas son el objeto de ataques constantes de una variedad de amenazas en continua evolución que
afectan al rendimiento, las comunicaciones y la confiabilidad de las mismas. Es por esto que
actualmente la seguridad de la información ha cobrado importancia en las redes de datos, dando
como resultado el surgimiento de una gran variedad de topologías en las cuales el objetivo
principal es mitigar los posibles ataques que permitan el robo o alteración de la información al
interior de las redes.
De acuerdo a lo anterior, se analizan los requerimientos básicos de seguridad con los que debe
contar una red de datos en particular, donde posteriormente se crean políticas de seguridad que
puedan ser puestas en práctica a través de la utilización del servidor PFSENSE.
14
4. PLANTEAMIENTO DEL PROBLEMA
Hoy en día las “diferentes empresas buscan el acceso a las diferentes redes que brinden
almacenamiento, privacidad, comunicación y gestión remota buscando que la información que ha
sido recolectada sea protegida, mediante todas las medidas disponibles, razonables y apropiadas
tendientes a evitar pérdidas, destrucción, el acceso, uso, manipulación, modificación o difusión
no autorizada”1. A nivel Mundial se han evidenciado diferentes problemáticas con respecto a lo
mencionado anteriormente que se evidencian en el documento “Lineamientos de política para
ciber seguridad y ciber defensa”, donde se observa que el gobierno de Estonia en el año 2007
sufrió el ataque cibernético más grande de la historia, en el cual se vieron afectados la
presidencia, el parlamento, la mayoría de los ministerios, los partidos políticos y dos de sus
grandes bancos. A causa de este ataque, se desató una gran crisis que requirió la intervención de
la comunidad internacional y alertó a la Organización del Tratado del Atlántico Norte (OTAN), la
cual en agosto de 2008, puso en marcha el Centro de Excelencia para la Cooperación en ciber
defensa (CCD), con el fin de proteger a sus miembros de este tipo de ataques y entrenar a
personal militar, investigar técnicas de defensa electrónica y desarrollar un marco legal para
ejercer esta actividad2.
Vale mencionar otros dos ataques cibernéticos representativos: El primero, fue en contra de
los Estados Unidos en el 2009, cuando una serie de ataques afectaron la Casa Blanca, el
Departamento de Seguridad Interna (DHS), el Departamento de Defensa, la Administración
Federal de Aviación y la Comisión Federal de Comercio; Otro suceso fue el que reportó la
Guardia Civil española en marzo de 2010, cuando desmanteló a una de las mayores redes de
computadores “zombies”, conocida con el nombre de “BotNet Mariposa‟, compuesta por más de
13 millones de direcciones IP infectadas y distribuidas en 190 países alrededor del mundo.
Colombia ocupó el quinto puesto entre los países más afectados por esta red.
1 Leonardo Flores Barrios, Mtro. Mario Soto del Ángel, Mtro. Othón Darío Camacho Díaz, Mario Alberto Barrera
Reyes. Evaluación del impacto de los sistemas de gestión de seguridad de la información bajo la serie ISO/IEC 27001 en empresas de la ciudad de Tuxpan, Veracruz. Revista de la Alta Tecnología y la Sociedad. 2011; Volumen 5,(1).
2 Ministerio de Interior y de Justicia, Ministerio de Relaciones Exteriores, Ministerio de Defensa Nacional, Ministerio de
Tecnologías de la Información y las Comunicaciones, Departamento Administrativo de Seguridad, Departamento Nacional de Planeación-DJSG-DIFP-DIES-OI Fiscalía General. Documento CONPES: Lineamientos de política para ciber seguridad y
ciberdefensa http://www.mintic.gov.co/portal/604/articles-3510_documento.pdf. Updated 2011.
15
A Nivel Nacional Colombia es uno de los países que actualmente no cuenta con una estrategia
nacional en ciber seguridad y ciber defensa, que incluya un sistema organizacional y un marco
normativo e institucional lo suficientemente fuerte para afrontar los nuevos retos en aspectos de
seguridad cibernética. Tal fue el caso de lo ocurrido durante el primer semestre de 2011, cuando
el grupo “hacktivista” autodenominado Anonymous atacó a los portales de la Presidencia de la
República, el Senado de la República, Gobierno en Línea y de los Ministerios del Interior y
Justicia, Cultura y Defensa, dejando fuera de servicio sus páginas web por varias horas. Este
ataque se dio en protesta al Proyecto de Ley “por el cual se regula la responsabilidad por las
infracciones al derecho de autor y los derechos conexos en Internet”. Este grupo ha atacado
indistintamente entidades públicas y privadas, entre las que se cuentan PayPal, el banco suizo
Post Finance, MasterCard, Visa y páginas web del gobierno Suizo.
Teniendo en cuenta lo anterior, se observa una problemática de seguridad mundial en la
utilización de redes de datos que afecta principalmente a las naciones con bajo desarrollo
tecnológico en materia de seguridad, como por ejemplo en Colombia, donde las pequeñas y
medianas empresas se podrían ver envueltas en ataques a sus redes de datos, produciendo la
pérdida y control de la información al interior de las mismas, lo que podría ocasionar la perdida
de dinero, de nuevos negocios y la pérdida de competitividad a nivel global.
16
5. FORMULACIÓN DEL PROBLEMA
¿Cuál es la forma de administrar y prevenir riesgos de seguridad de una red de datos definida
tarvés de PFSENSE, de manera accesible para los usuarios?
17
6. JUSTIFICACIÓN
Una red de Datos es una red de telecomunicaciones que permite el intercambio de información
entre diferentes usuarios y compartir almacenamiento y recursos de Hardware para trabajar de
manera simultánea y flexible. El Internet es un medio esencial para cualquier negocio hoy en día.
Con el uso generalizado del correo electrónico, y de nuevas tecnologías tales como los “mensajes
instantáneos”, la conexión a Internet es imprescindible para mantener el contacto con los clientes
y estar al día en las tendencias de la industria y los desarrollos competitivos3. Sin embargo, en su
diseño original no consideró aspectos de seguridad. Los esfuerzos en el diseño de protocolos y
redes seguras van acompañados de reportes de nuevas vulnerabilidades en los sistemas más
frecuentemente utilizados. Dado que una porción cada vez mayor de la actividad económica
global depende constantemente de las redes de datos, es de vital importancia la protección de
estas, puesto que son referidas o llamadas algunas veces como la infraestructura física del
ciberespacio, de acuerdo a esto, se observa lo crucial que estas son para mantener y garantizar el
desarrollo y el bienestar social, por lo cual las redes de datos deben ser protegidas con alta
prioridad4.
Las redes informáticas son el objetivo de ataques constantes de una variedad de amenazas en
continua evolución que afectan al rendimiento, las comunicaciones y la confiabilidad. Algunos
ataques de los que puede ser objeto una red de datos comprenden phishing, pharming, scam,
clickfraud, worms, zeroday exploits, spam, ataques de denegación de servicio distribuidos
(DDoS), entre otros.
Estos ataques pueden ser mitigados a través de un Cortafuegos (Firewall) y Proxy, los cuales
pueden ser un dispositivo de hardware o una aplicación de software (PFSENSE) diseñado para
proteger los dispositivos de red de usuarios externos a ella y/o de aplicaciones y archivos
maliciosos, de acuerdo a unas determinadas políticas de configuración en la seguridad.
Por otra parte, el administrar la seguridad de una red de datos definida de manera accesible
permitirá generar nuevo conocimiento y establecer una restructuración en las prioridades de las
3 Rivera, C. Beneficio de las Redes.; 2008 4 Mifsud, E. Introducción a la seguridad informática.; 2012
18
telecomunicaciones. Las empresas podrán tener acceso a fuentes externas de instalaciones
informáticas dentro de una red de manera rápida, segura e intermediar el tráfico de red.
Por lo tanto, es indispensable que desde la Ingeniería se brinden herramientas que contribuyan
a minimizar los riesgos de seguridad asociados a las redes de datos que producen la pérdida de
información vital para las empresas o instituciones. Con la finalidad de buscar estrategias para
administrar de forma sencilla y accesible la seguridad de la red se toma como punto de referencia
un servidor tipo Gateway ya que este es un Host en el cual están incluidos un Firewall y un Proxy
que cuentan con capacidades de enrutamiento mejorando la prestación de los servicios de este,
dado que se utiliza en la topología de red definida.
El propósito de realizar una red en la cual se administra la seguridad a través de la utilización
de un servidor tipo Gateway denominado PFSENSE busca implementar políticas de seguridad
para que los usuarios accedan a internet de forma segura, confiable y que la red interna esté
protegida del acceso de usuarios de internet no autorizados. Adicionalmente permite establecer
restricciones para que determinados usuarios puedan conectarse a la red sin que otros se conecten
a la misma a través de puntos de acceso5. Por esta razón, en Ingeniería es importante favorecer la
investigación en esta área basándose en la seguridad de las redes de datos con el fin de quitar el
vacío de investigación que se encuentra acerca de la manera de administrar la seguridad de una
red de datos a través de software de licencia libre
5 Rodríguez, H. Firewall y Proxy.; 2008.
19
7. OBJETIVOS
7.1 OBJETIVO GENERAL
Crear políticas de seguridad en una red de datos bajo un esquema o estructura de red definida
a través de la utilización del servidor PFSENSE con el fin de administrar la seguridad de dicha
red de forma accesible y que esta pueda ser tomada como base para su implementación en una
empresa en general.
7.2 OBJETIVOS ESPECÍFICOS
1. Definir los requerimientos básicos de seguridad en una red de datos bajo un esquema o
estructura de red definida.
2. Identificar las características de una política o tipos de políticas.
3. Diseñar políticas de seguridad que puedan ser aplicadas para proteger los usuarios de dicha
red a través de la utilización del servidor PFSENSE.
4. Demostrar la funcionalidad de las políticas de seguridad mediante la utilización de una
simulación en GNS3 y VMware Workstation 10.
20
8. METODOLOGIA
La metodología de la investigación que se desarrolla en este trabajo de grado es de tipo
exploratoria, descriptiva y documental, debido a que se basa en recolección y análisis de todo tipo
de información concerniente a la seguridad de la información en una red de datos a través de la
utilización del servidor PFSENSE. La información es consultada a través de bases de datos donde
se buscan artículos, elementos bibliográficos, apoyado también de consultas a sitios de internet
que brindan información un poco especifica acorde al problema a solucionar, para así poder
seleccionar los elementos más importantes para el estudio del tema y desarrollo del mismo.
Además, se propone la ejecución de prácticas mediante las cuales se prueba algunos de los
objetivos del trabajo mediante la utilización de máquinas virtuales y un simulador con el cual se
crea la red con la cual se trabaja en el desarrollo del trabajo.
21
9. MARCO TEORICO
Una red de datos es un conjunto de computadoras conectadas que comparten recursos. Las redes
cuentan con una parte física (cables, placas y dispositivos de conexión inalámbrica) y con un
soporte lógico (programas, protocolos de comunicación, sistemas operativos), permitiendo el
ahorro de dinero al compartir recursos de hardware como impresoras, escáneres y la posibilidad
de compartir almacenamiento por lo que las terminales ya no necesitarían grandes capacidades de
almacenamiento e incluso la optimización del tiempo de trabajo debido a la posibilidad de que
varios usuarios trabajen sobre el mismo archivo de forma simultánea; además, se puede
administrar la seguridad de los usuarios de forma centralizada asignándoles permisos y
restricciones para controlar el acceso a los recursos de la red a través de Firewall, Proxys y de
ésta manera evitar riesgos de seguridad. Sin embargo, “existen redes que no administran la
información de forma centralizada como es el caso de las redes peer to peer mientras que las
redes cliente- servidor gestionan la información de forma centralizada. La diferencia entre estas,
es el uso de un terminal que funciona como elemento central de la red”6.
En las redes cliente-servidor, los recursos y la administración se centra en una sola terminal
denominada servidor. Éste servidor cuenta con un sistema operativo robusto para poder brindar
servicios a las demás terminales de la red (clientes). “Entre los servicios que puede ofrecer el
servidor se destacan los siguientes: servidor de impresión, servidor de correo, servidor de
archivos, servidor web, servidor DHCP, servidor DNS, entre otros”7. Las principales ventajas de
este tipo de red incluyen la administración simplificada de los recursos compartidos, el ahorro de
tiempo y dinero en dispositivos, protección más simple y efectiva, prevención de perdida de
información y facilidad de adaptación. Sin embargo, existen una serie de desventajas, en donde el
administrador de la red debe tener conocimientos avanzados y el servidor central debe contar con
capacidades de procesamiento y memoria altas.
La red Peer to Peer está compuesta por terminales que cuentan con capacidades de cliente y de
servidor por lo que es una red más fácil de implementar debido a que no requiere conocimientos
6 Intercap. Administración de redes de computadoras. ; 2006. 7 Verón, J.Practicas de Servicios en Red.; 2009.
22
especializados para su administración pero necesita mucho más tiempo puesto que se deben
configurar todas las terminales una por una. Por lo tanto éste tipo de red no permite centralizar
los recursos y la seguridad que son de vital importancia en una empresa PYME, por lo que ésta
red no se utiliza en un entorno donde se quiera obtener rendimiento de la red. En “una red Pyme
es necesario utilizar una red cliente servidor para formar la Intranet de la empresa”8. Según
Patricio Pastor9 define la intranet como un sistema para la gestión de información desarrollado
principalmente sobre las potencialidades del mundo World Wide Web (WWW), que es de acceso
limitado a la empresa que la crea o a quien autorice, es decir, los usuarios pueden acceder a la
información dependiendo de las políticas de seguridad previamente establecidas. De acuerdo a lo
anterior la intranet no sólo se desarrolla para quienes trabajan dentro de la empresa, sino también
para aquellos que usan servicios de información que la empresa produce u ofrece a disposición
del usuario externo, con la diferencia que esta información se mantiene dentro de la institución.
Para crear una intranet, las consideraciones funcionales son tan importantes como las técnicas
ya que están condicionadas a los requerimientos funcionales definidos por la organización. Como
todo replanteamiento del proceso, la primera pregunta es por qué es necesaria una intranet dentro
de una empresa para la gestión y seguridad de ella; lo que conlleva a pensar de nuevo las cosas
que en una empresa se hacen y ver el beneficio de implantar un nuevo sistema de información;
donde “el uso de una intranet ayuda a identificar quién genera y usa la información que maneja la
empresa, lo que permite mostrar o enfocar a quien produce la información útil para su gestión y
cómo se comporta” 10. Esto adquiere relevancia porque mejora la gestión de recursos humanos y
fortalece la comunicación, beneficiando así a la empresa, trabajadores y los clientes por medio de
diferentes plataformas, protocolos y elementos de seguridad.
Ésta intranet según Mauricio Arrecia es una Red de Área Local (LAN) en la cual se conectan
computadoras personales PC´s y estaciones de trabajo en oficinas de compañías y fábricas con el
objeto de compartir recursos (por ejemplo: impresoras, capacidad de almacenamiento,
dispositivos de comunicaciones) e intercambiar información entre usuarios.
8 Macías, M. Modelos básico de administración de red. 9 Alarcón, R. Gestión y administración de redes como eje temático de investigación.; (2007) 10 Pastor, P. Intranet: un sistema para la gestión de información.; 1998
23
Las LAN a menudo usan una tecnología de transmisión que consiste en un cable sencillo,
UTP, compartido al cual están conectadas todas las máquinas, con sistemas de difusión
(Broadcasting). “Las LAN tradicionales operan a velocidades que van de los 10 a los 100 Mbps
(Mega Bits por Segundo) y actualmente nuevas LAN ya se están implementando a velocidades
del orden de los Gbps (Giga Bits por Segundo)” 11.
Por lo que el rendimiento de la red aumenta en términos de velocidad sin embargo esto indica
que también se debe mejorar la gestión de la seguridad debido a que la cantidad de información
utilizada en la red aumenta. Dentro de una red de datos como la Intranet o LAN requieren la
disposición de dispositivos de red que permitan la interconexión entra las terminales. Dentro de
estos dispositivos se encuentra un Router denominado también como enrutador, el cual es un
dispositivo de hardware y software usado en la interconexión de redes de computadoras que
opera en la capa 3 (capa de red) del modelo OSI. Permitiendo el direccionamiento de los paquetes
de acuerdo a una dirección IP en los segmentos de redes donde operan, y determina la ruta
óptima por la cual encamina los paquetes (datos); el Switch o conmutador realiza la misma tarea
que un HUB pero de forma más eficiente mejorando el rendimiento de las redes. Opera en la capa
2 (capa de enlace de datos) que interconecta segmentos de red de acuerdo con las direcciones
MAC pertenecientes a los hosts que se encuentran en la información contenida en las tramas de
datos y transmiten la información por los puertos a los que están conectados los dispositivos y
que no presentan actividad en ese momento. Los dispositivos mencionados anteriormente
permiten interconectar a las terminales o Hosts los cuales están conectados a la red para procesar
la información que se maneja en ésta. Estos dispositivos pueden ser monousuarios o
multiusuarios que ofrecen servicios de transferencia de archivos siendo el punto inicial y final en
la transferencia de datos. Los hosts con capacidades de procesamiento y hardware superiores son
utilizados como servidores web y bases de datos.
“Los servidores proporcionan una ubicación centralizada de la información en la red, es
posible guardar, almacenar y compartir información con todos los usuarios de la red, permitiendo
así tareas de gestión y administración en servidores para crear, administrar recursos, establecer
11 Mauricio Manriques, Jorge River, Jose Hernandez. (2009). In Escuela Superior de Ingeniería Mecánica y Electrica (Ed.),
Conceptos elementales para el diseño de redes LAN
24
límites, gestionar almacenamiento de datos y de esta forma tener una red dinámica en la cual no
solo se almacena información, sino que también se comparten recursos”12. Estos Hosts cuentan
con Tarjetas o adaptadores de red conocida también como Network Interface Card (NIC), la cual
es un tipo de tarjeta que se inserta en la placa madre de una computadora o se conecta a uno de
sus puertos para permitir que la máquina acceda a una red y pueda compartir sus recursos (como
los documentos, la conexión a Internet o una impresora, por ejemplo). Las tarjetas de red pueden
tener diferentes tipos de conexiones dependiendo de la arquitectura de red utilizada y el medio
físico al cual se vaya a conectar por ejemplo cable coaxial o cable UTP con conectores RJ 45.
Los Host además de conectarse a la red a través de medio cableado, se pueden conectar a través
del medio inalámbrico mediante un dispositivo denominado Modem, el cual recibe su nombre de
la combinación de Modulador/Demodulador, convierte las señales digitales emitidas por un
dispositivo como un ordenador en señales y viceversa para ser transmitidas por el medio físico
como líneas telefónicas o cable modem. Estos dispositivos permiten enviar señales a largas
distancias y actualmente es usado en diversas redes para prestar servicios de internet y telefonía,
sin embargo para que los Hosts puedan conectarse a red, es necesario que estos tengan un
adaptador de red inalámbrico. Los dispositivos anteriores permiten la comunicación de la
información por lo que existen dos elementos adicionales para brindar seguridad a la red de datos
en la cual operan. Estos dispositivos de seguridad son el Proxy y el Firewall, el cual es un
elemento de hardware o software ubicado entre dos redes o equipos para protegerlos uno del otro.
El ejemplo más habitual implica una LAN privada conectada a través de un firewall a la red de
internet pública.
De acuerdo a Stephan Windmuller13, El firewall es todo un logro, la evolución de las
infraestructuras de TI y la sofisticación de las amenazas de seguridad de TI han traído nuevas
advertencias continuas sobre la razón de utilizar un firewall. A través del tiempo las redes han
cambiado dramáticamente, de la relativa simplicidad de hace una década a muchas topologías
complejas de hoy. Los perímetros se han vuelto más extendidos e incluso fragmentados, sin
12 Budris, P. Administrador de redes windows. Buenos Aires: Fox Andina;Dalaga.; 2011 13 Stephan Windmuller. Simplifying firewall setups by using offline validation. Journal of Integrated Design and Process Science.
2013;17(3)
25
embargo, todavía existen, y todavía hay una separación muy clara entre la infraestructura interna
de confianza y redes externas no confiables.
Las organizaciones utilizan muchas formas de acceder a los datos corporativos, tales como
VPNs basadas en el cliente y sin cliente de las computadoras portátiles y teléfonos inteligentes, o
aplicaciones en la nube, pero las fronteras siguen ahí. La actividad global de la red es sólo más
compleja, con más eventos para controlar, más puntos de cruce y una mayor variedad de tráfico.
Las fronteras son usualmente protegidas por los Gateways o dispositivos de borde los cuales han
evolucionado más allá del simple monitoreo de ciertos puertos, direcciones IP, o los paquetes
fluyendo hacia y desde cada dirección, para poder examinar más específicamente la actividad del
usuario y la aplicación. De hecho, los cortafuegos (Firewall) han sido capaces de identificar
aplicaciones sin utilizar durante los últimos 17 años mediante el análisis de paquetes de datos.
Sólo un enfoque modular, basado en software puede permitir que el corta fuegos soporte
múltiples capacidades de seguridad que puede ser activado y extendido, basado en las
necesidades del usuario, y a medida que surgen nuevos problemas o necesidades de seguridad de
una organización cambian. Además, si la puerta de entrada está siendo utilizada para seguimiento
de la actividad del usuario, puede convertirse en una plataforma ideal para ejecutar una solución
de prevención de pérdida de datos, se realizará el seguimiento e identificar el contenido
potencialmente confidencial que se envía hacia fuera por correo electrónico o mediante la
aplicación web de la organización y bandera de los posibles problemas a los administradores y
usuarios.
Otra herramienta que puede ser utilizada para la seguridad como el Firewall es el servidor proxy
que es una combinación de plataformas de hardware y aplicaciones de software que sirve como
intermediario en la comunicación de redes entre las partes. Los sistemas cliente-servidor
proporcionan un intermediario en las comunicaciones entre el cliente (por lo general el envío de
solicitudes) y el servidor (el envío de la respuesta). En general, para el proxy no se limita a los
sistemas cliente-servidor, la delegación adecuada de este puede proporcionar el intercambio de
mensajes en redes como punto a punto. El principio básico de funcionamiento del servidor proxy
es recibir solicitudes de clientes analizar estos requisitos y luego enviarlos a los servidores de
destino con respuestas para el cliente original. El servidor proxy funciona en la capa de séptimo
26
Modelo ISO / OSI (aplicación) para analizar las solicitudes de entrada. Por lo tanto, también se
llama este proxy como un proxy de aplicación. Además de este proxy de aplicación, también los
hay independientes de las aplicaciones, proporcionando sólo el transporte paquetes sin el
conocimiento de los protocolos de capa de aplicación. “La Red SOCKS permite paquetes entre
un cliente y un servidor a través de un servidor proxy. SOCKS5 ofrece, además, la autenticación
de modo que sólo los usuarios autorizados, pueden acceder a un servidor” 14.
La razón principal para implementar un proxy es permitir el acceso a fuentes externas de
instalaciones informáticas dentro de una red. El servidor proxy en este caso se instala en el
equipo con un firewall, y sirve como puerta de entrada para la intermediación de tráfico de red
del protocolo de aplicación. Un proxy de aplicación ofrece grandes ventajas como almacenar el
contenido de las respuestas, mejorar los tiempos de respuesta y reducir el ancho de banda. En
general, la organización puede restringir el acceso a equipos cliente individual mediante la
dirección de destino, protocolo o tipo de recurso. El procesamiento gracias a la aplicación del
servidor proxy puede realizar el escaneo de contenido entrante y bloquear el acceso a las fuentes
infectadas. Del mismo modo, la inspección de los datos salientes en busca de virus y la
modificación del contenido de otras plataformas, como el acceso a recursos de la Web desde un
dispositivo móvil.
Mediante el uso de un servidor proxy de aplicación se puede aumentar la seguridad para las
solicitudes de registro, recopilar información estadística de las operaciones y almacenar un
registro de las solicitudes realizadas en los archivos de registro y buffer de memoria. Además
permite monitorear el tráfico de internet de un área local de red como el filtrado de contenido o
de control de acceso y es adecuado para la educación de los estudiantes.
Para aumentar la potencia de un servidor con Firewall Proxy se utiliza una zona adicional
dentro de la red de datos en la cual se alojan los servidores (bastiones) que son compartidos hacia
internet sin afectar la seguridad de una empresa, la DMZ. La zona desmilitarizada (DMZ) está
aislada de la red LAN de la empresa por un servidor PROXY. Los usuarios de la red LAN solo
14 Grennan, M. Cortafuegos y servidor proxy.; 2013
27
podrán acceder a la DMZ si cuentan con los permisos adecuados, lo cual permite que esta zona
permanezca segura por si algún usuario no autorizado trata de acceder a ella. Por lo tanto, se
plantea como un paso intermedio entre la red LAN y el acceso a Internet, que si se protege
debidamente quedara como una zona segura dentro de la red de la empresa.
La DMZ protege la red LAN de la empresa al momento de ofrecer servicios a internet como
tiendas en línea o algún otro servicio, fundamentado en que, la DMZ se encuentra el servidor
web, el cual da servicio a la página online de la empresa sin afectar la seguridad de la red interna
en caso de una intrusión no autorizada a este.
La mayoría de los firewalls son dispositivos de seguridad a nivel de red, por lo general un
aparato en combinación con equipos de red. Tienen la finalidad de proporcionar un medio
granular de control de acceso en un punto clave en una red. Una DMZ está destinada a albergar
los sistemas que deben ser accesibles a la Internet, pero de manera diferente a su red interna. El
grado de disponibilidad de la Internet a nivel de red es controlada por el firewall y a nivel de
aplicación es controlada por el software.
La DMZ normalmente permite el acceso restringido a través de Internet y desde la red interna.
Los usuarios internos generalmente deben acceder a los sistemas dentro de la zona de distensión
para actualizar información o utilizar los datos recogidos y tratados.
Para mitigar riesgos de la DMZ se debe “permitir el acceso sólo a través de limitados
protocolos (por ejemplo, HTTP para el acceso web normal y HTTPS para el acceso Web cifrado).
Por esto, los sistemas propios deben configurarse con cuidado para proporcionar una protección a
través de los permisos, mecanismos de autenticación, una cuidadosa programación y cifrado”15.
La infraestructura de las redes abarca los siguientes segmentos: información y
comunicaciones, generación de energía, sistemas bancarios y financieros, transportación, agua,
alimentos, servicios de salud pública, sistemas de emergencia y operaciones de manufactura
15 Security Network. What DMZ is and what it means for your business?.; 2007.
28
relevantes. “La Infraestructura Crítica de Redes de Telecomunicaciones se refiere al conjunto de
redes y computadoras interconectadas que transportan información relevante a la seguridad de un
país o de alto valor financiero, también se refiere a las redes que soportan las operaciones de
algún otro tipo de infraestructura crítica”16.
El sitio de la UIT refiere que los defensores necesitan defenderse contra todos los ataques
posibles mientras un atacante solo necesita encontrar y explotar una falla única. Por ello es
deseable contar no con una sino con varias líneas de defensa yuxtapuestas que incluyan
estrategias nacionales e internacionales, esfuerzos públicos y privados, canales formales e
informales de comunicación así como cooperación bilateral y multilateral.
De acuerdo a que las redes son críticas es necesario revisar cuales son las vulnerabilidades de
una red de datos para así implementar políticas de Seguridad. La metodología utilizada para la
detección de vulnerabilidades propuesta por ETECSA17 (Empresa de Telecomunicaciones de
Cuba) consta de tres fases soportadas por herramientas de software, mediante las cuales se busca
obtener las vulnerabilidades en los equipos de red (tanto cableada como inalámbrica) y servidores
en las redes de datos objeto de estudio. La primera fase consiste en obtener tanta información
como sea posible de la red objetivo, para esto se realizan e implementan técnicas que se basan en
diferentes tipos de consultas a servidores y técnicas que se basan en el análisis de los mensajes de
enrutamiento. En la segunda fase es llamada escaneo de puertos y enumeración de servicios, en
esta fase se evalúan los equipos obtenidos para determinar los puertos y servicios que están
activos en cada uno de ellos. Dependiendo del tipo de puerto y servicio que este activo en cada
equipo se puede inferir el rol que juega dentro de la organización. Nuevamente se anota que en
esta fase no se pretende encontrar vulnerabilidad alguna, sino determinar los equipos críticos de
la red objetivo a los cuales se les aplicará el escaneo de vulnerabilidades.
Una vez analizada las vulnerabilidades se debe tener en cuenta la forma de distribuir la
seguridad y otras amenazas un ejemplo de esto fue la propuesta de arquitectura de seguridad que
16 Carlos Silva Ponce. Seguridad de las redes y sistemas de telecomunicaciones críticos. AHCIET Revista de
Telecomunicaciones. 2009. 17 Raymundo Pérez. Documento normativo para implementación de políticas de seguridad en la red de telecomunicaciones.
Revista técnica de la empresa de telecomunicaciones en Cuba. 2008.
29
elaboró ETECSA para la red con un enfoque integral, genérico y personalizado adaptado a las
características y condiciones del entorno.
Las redes de telecomunicaciones de próxima generación (Next Generation Network NGN)
ofrecen servicios multimedia. Estas redes al estar basadas en el protocolo IP presentan las
vulnerabilidades, amenazas y riesgos propios de las redes de datos tradicionales y de las redes de
telefonía IP. Por lo cual los operadores y proveedores de servicios de telecomunicaciones deben
ofrecer un servicio seguro y confiable a los clientes protegiendo no solo las redes de estos, sino
también las redes propias de ellos.
Estos ataques podrían afectar la continuidad del servicio a través de ataques de denegación de
servicios y ataques distribuidos de denegación de servicio, robo o suplantación de identidad,
manipulación y corrupción de datos, fraude telefónico y virus. Sin embargo, es posible controlar
la infraestructura de estas redes para prevenir las amenazas y mantener su seguridad a través del
uso de mecanismo de extremo a extremo a través de cortafuegos (firewalls) o el servidor Proxy.
Los usuarios o clientes pueden establecer por sí mismos su seguridad, adoptar las medidas
apropiadas de acuerdo a sus necesidades.
De acuerdo de los diferentes tipos de vulnerabilidades este autor propone un servicio de
autentificación de usuarios y dispositivos a través del servidor Radius. Los Ingenieros José
Arana, Leandro Villa y Oscar Polaco proponen un diseño e implementación de un sistema de
control de acceso a la red que proporciona el servicio de Autenticación, Autorización y Auditoría
(AAA) usando software libre, empleando protocolos estándar y Radius con base en una
infraestructura de clave pública. El Servidor Radius permite implementar una red con el servicio
de autenticación, autorización y auditoría que se configura en un computador de escritorio. Para
que “la estación de un usuario pueda establecer confianza con la Autoridad de Certificación de la
red, aceptar y confiar en los dispositivos de red que la autoridad ha certificado, es necesario que
dicha estación tenga instalado el certificado raíz de confianza de la Autoridad de Certificación,
pudiendo así comprobar la validez de un certificado digital de identificación de un tercero, que en
30
este caso será el del servidor de autenticación RADIUS, es decir, el punto de decisión de
políticas”18.
Radius permite un control de la seguridad para determinar que usuarios accedan a la red sin
embargo no controla lo que se realiza dentro de esta una vez adentro, por lo cual Kelly Molina19
propone una solución de seguridad informática, especialmente para ayudar a las PYMES que
cuentan con poco personal de TI para afrontar el reto de proteger sus redes. Se trata de un firewall
bajo el sistema operativo Linux de licencia GNU como es la distribución Centos (es un clon a
nivel binario de la distribución Linux Red Hat Enterprise Linux). Es una herramienta de fácil
manejo que combina funciones de prevención de intrusiones y capacidades de filtrado de
contenido, entre otras opciones; independientemente de si las amenazas se originan internamente
o externamente, tanto en la capa de la red como en la de la aplicación. Obteniendo un resultado
positivo en la comprobación de sus reglas, de igual forma se definieron las salidas hacia la red
externa indicando los puertos de salida de la conexión de los hosts y así evitar toda comunicación
indeseable hacia el exterior.
La Asociación Colombiana de Ingenieros de Sistemas (ACIS), publicó los resultados de la
investigación “Seguridad Informática en Colombia, tendencias 2008” donde se muestra el
panorama colombiano y su futuro. Se da a conocer que la seguridad de la información se ha
convertido en un elemento clave para la formalización de las estrategias de negocios en la
mediana empresa. Los resultados también presentan el software no autorizado y los accesos no
autorizados a la web como las fallas más frecuentes en Colombia.
Es por esto que se busca implementar un servidor tipo Gateway con capacidades de
enrutamiento, firewall y proxy que se adapte de forma rápida al crecimiento de las empresas y
que se ajusten a las tecnologías.
Se presentan los servidores PROXY más utilizados en una red de datos, capaces de operar en
una topología con una red LAN, y una red DMZ (zona desmilitarizada), que operan como
18 José Arana, Leandro Villa, Oscar Polaco. Implementation of network access control by using authentication and accouting
protocols. Escuela de Ingeniería Electronica y Electrica. 2012. 19 Kelly Martínez, Javys Pacheco ,Isaac Zúñiga. Firewall – linux: Una solución de seguridad informática para pymes (pequeñas
Y medianas empresas). Revista de facultad de Ingenierias Fisicomedicas. 2009.
31
servicio en un servidor central cuyo sistema operativo puede ser Pfsense que cuenta con
capacidades de firewall, Gateway y enrutamiento básico.
PFSENSE es una distribución gratuita que está basada en FreeBSD, derivada de m0n0wall,
cuyo objetivo principal es tener un Firewall fácil de configurar, a través de una interfaz amigable
con el usuario y que se pudiera instalar en cualquier computadora, incluyendo computadoras de
una sola tarjeta. Está adaptado para su uso como Firewall y Router con una interfaz web sencilla
para su configuración
Para realizar las prácticas se utilizará PFSENSE como sistema operativo para el servidor
donde estará instalado el servicio de PROXY para la red. Este sistema operativo cuenta con
características de enrutamiento, lo cual permitirá que los servicios PROXY instalados en ellos,
puedan operar de forma rápida y sencilla. Además son de licencia gratuita por lo que no es
necesario gastar dinero en licencias periódicas, sin embargo cuentan con un foro para cada uno,
que ayuda a la solución de problemas posibilitando que estos sistemas sean cada vez más
adoptados en las redes de datos. Otra ventaja importante de estos sistemas operativos es que
funcionan en computadoras con pocas prestaciones de hardware, lo que los hace muy atractivos
para la implementación en equipos económicos.
PFSENSE se fundamentara en que, es un sistema operativo enfocado a la seguridad que cuenta
con servidor PROXY llamado SQUID con grandes capacidades de funcionamiento. Lo más
importante de este sistema operativo u servidor PROXY, es que puede trabajar en la topología de
red más utilizada a nivel empresarial por la seguridad que ésta ofrece.
32
CAPÍTULO I
10. REQUERIMIENTOS BASICOS DE SEGURIDAD EN UNA RED DE DATOS
El presente trabajo está orientado al nivel lógico, por lo cual no se analizan aspectos relativos
al nivel físico. En el siguiente análisis se consideran solamente los requerimientos y políticas que
puedan ser implementadas en PFSENSE para la seguridad de una red de datos.
Es preciso tener en cuenta todos los factores que pueden amenazar la seguridad, aquellos
premeditados y aquellos que no. Los usuarios pueden ser el origen de los ataques a la red debido
a que los errores humanos son una vulnerabilidad asociada a cualquier red de comunicaciones.
Por supuesto también existen amenazas que intentan atacar las vulnerabilidades de una red. Este
trabajo no contiene todas las amenazas y vulnerabilidades existentes o posibles, puesto que la
seguridad de la información requiere una investigación de gran magnitud y que no está
contemplada en los alcances del presente trabajo, pero permite definir en forma básica de cómo
prever un ataque a los recursos de una red.
Al realizar el diseño de las políticas de seguridad de una red de datos, es de vital importancia
siempre primero definir los requerimientos de seguridad que la red necesita para que de esta
manera las políticas respondan de forma correcta ante las necesidades de la misma
10.1 PRIORIDAD DE LA SEGURIDAD EN UNA RED DE DATOS
La seguridad en las redes de comunicaciones tiene la prioridad de proteger la red y la
información de todos los accidentes o acciones malintencionadas que pongan en peligro tres
aspectos importantes en la información transmitida en la red; estos aspectos conforman los pilares
en los cuales se enfoca la seguridad de la información y comprenden la disponibilidad, integridad
y confidencialidad de la misma.
Eugene Spafford, experto en seguridad de datos y profesor de ciencias informáticas en la
Universidad Purdue (Indiana, EEUU), dijo que “el único sistema seguro es aquel que está
apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y
33
custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida
por él”. Esto indica que un sistema no es absolutamente seguro pero que si puede ser fiable al
existir la posibilidad de que el sistema se comporte tal y como se espera de él20.
Los aspectos importantes de la seguridad son definidos así21:
Disponibilidad: La información y los servicios deben ser accesibles aún en caso de catástrofes
naturales, accidentes o ataques.
Integridad: Los datos deben permanecer con el formato e información con el cual fueron
creados para enviarse, y estos datos deben recibirse para su lectura con el mismo formato e
información con el cual fueron enviados. Es decir, los datos no deben sufrir ningún tipo de
alteración durante una transmisión. Dichos datos solo son modificados por personal autorizado.
Confidencialidad: Los datos deben estar protegidos de toda lectura no autorizada, aun si estos
son interceptados no deberán poder leerse por personal que no cuente con los permisos
necesarios. Además, los datos deben protegerse para que sean divulgados por personal no
autorizado.
10.2 TOPOLOGÍA DE RED
En la topología se tienen en cuenta tres zonas que comprenden la red, incluyendo la red
externa. Delimitar las partes de la red constituye la planeación física y lógica del sistema de
defensa, y se trata de la primera medida de seguridad que se tiene en cuenta para poder
visualizar de una forma clara la manera o estrategia más adecuada para administrar la
seguridad de la red.
20 Elvira Mifsud. Introducción a la seguridad informática – Seguridad de la información/Seguridad informática [En línea].
<http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040-introduccion-a-la-seguridad-informatica?start=1> [Citado el 20 de agosto de 2014]
21 Universidad de Salamanca. Seguridad de las redes y de la información: Propuesta para un enfoque político europeo [en
línea]. <http://campus.usal.es/~derinfo/derinfo/SEGURID/netsec_es.pdf> [Citado el 18 de agosto de 2014]
34
La topología de red en la cual se trabaja está diseñada en GNS3 y es una propuesta para
que sea implementada o estudiada para la seguridad de una red de datos debido a la seguridad
que ofrece a la red interna y los servidores de ella. A continuación se muestra un diagrama
sencillo de cómo es la red que se implementa en el simulador GNS3.
Figura 1. Topología de red diseñada en GNS3
Fuente: Autor
Debido a que las empresas necesitan servidores internos para almacenar, compartir y gestionar
datos internamente de forma segura, se puede hacer uso de la DMZ para montar estos servidores
allí. Por tal razón, se hace uso de la topología (Figura 1), la cual brinda seguridad a los servidores
internos, fundamentado en que están filtrados de internet por un servidor de seguridad de la red.
Esto permite simplificar la forma en la cual se administra la seguridad, debido a que la seguridad
está centralizada en el servidor con PFSENSE.
10.3 ESTABLECIMIENTO DE REQUERIMIENTOS
Una vez que se visualiza la topología de la red que se diseñará en el trabajo, se definen los
requerimientos básicos de seguridad con los que debe contar para mantener la información
protegida.
35
Los requerimientos se dividen en etapas para asociar de forma fácil la relación de los
requerimientos con las políticas que se proponen posteriormente.
10.3.1 CONTROL DE ACCESO
1. El acceso a la red solo debe poder hacerse por personal de la empresa y que esté autorizado,
por lo cual se deben utilizar mecanismos que eviten el acceso no autorizado tanto a nivel local
como externo.
2. Cada empleado que utilice la red de la empresa debe contar con un usuario y contraseña para
poder acceder a la red.
3. Los usuarios tendrán únicamente acceso a los recursos de acuerdo a su puesto laboral y tareas
definidas en su manual de operaciones.
4. Las actividades de los usuarios en la red deben ser guardadas para posteriormente detectar
anomalías y comportamientos sospechosos o potencialmente peligrosos para la red de la empresa.
5. Los mecanismos de protección para el acceso a la red y a los recursos deben estar únicamente
bajo el control directo del administrador de seguridad.
6. El acceso a internet solo debe poder hacerse por personal autorizado.
7. El acceso a sitios de internet potencialmente peligrosos deben debe estar restringido.
10.3.2 DOCUMENTACIÓN
1. Los usuarios deben contar con un manual en el cual se les informe las funciones, obligaciones
y restricciones que tienen para utilizar la red.
2. Conocimiento por parte del personal de las normas y medidas de seguridad que les son
aplicables.
3. Debe estar documentado el personal a cargo de la seguridad de la red de la empresa.
36
4. La red debe contar con un documento en el cual se encuentre información concerniente a la
topología de la red (descripción y estructura del Sistema Informático enumeración de equipos,
redes, programas) y su forma actual en la que se administra para que en caso de cambio de
personal, se acople fácilmente a la red.
5. Controlar el acceso a la documentación.
10.3.3 CONTROL DE TRÁFICO
1. Determinar los servicios que se implementan en la empresa con el fin de permitir solo estos en
la red.
2. El uso del ancho de banda debe estar regulado para no sobrecargar la red de la empresa.
3. La red debe utilizarse solo con fines que ayuden a la estrategia de la empresa.
4. Segmentar el tráfico de la red con el fin de administrar mejor los servicios.
10.3.4 CONTROL DE ACTUALIZACIONES
1. Mantener los sistemas y programas siempre actualizados.
2. Actualizar constantemente la documentación.
37
38
CAPITULO II
11. POLÍTICAS DE SEGURIDAD
Este capítulo trata sobre lo que es una política de seguridad, las características fundamentales
y para qué se utiliza dentro de la seguridad en una red de datos.
11.1 DEFINICIÓN DE UNA POLÍTICA DE SEGURIDAD
Las políticas de seguridad definen los derechos y deberes que los usuarios tienen con respecto
a la seguridad; brindan información a los usuarios en general que permita el entendimiento de las
políticas de seguridad, sus propósitos, guías para la mejora de las prácticas de seguridad, así
como la manera en que deben comportarse en la empresa junto con las definiciones de sus
responsabilidades de seguridad.; además, también administran la manera de dirigir, proteger y
distribuir recursos en una organización para llevar a cabo los objetivos de seguridad de la misma.
Para definir las políticas de seguridad se empieza por definir una política general que cubra todos
los sistemas de información dentro de la empresa.
La política debe ser aceptada por la parte administrativa por lo que se utiliza un enunciado
fácil de entender en el cual esté estipulado la información disponible. Se debe claramente indicar
qué actos han sido identificados como ataques de seguridad y las acciones disciplinarias que se
tomarán si se detectara un ataque de seguridad. Por último, se debe generar un enunciado de uso
aceptado por el administrador para explicar los procesos que se deben seguir a fin de administrar
cuentas de usuarios, implementar políticas y revisar privilegios. Políticas específicas de la
empresa que hagan referencia a contraseñas y el manejo de la información también se deben de
establecer en estas políticas.
Las políticas de seguridad deben ser acorde con las actividades de la empresa y ser expresadas
en un lenguaje en el que todas las personas involucradas puedan entender. Además, se
39
implementan mediante una serie de mecanismos de seguridad que constituyen las herramientas
para la protección del sistema.
Los mecanismos de seguridad se dividen en tres grupos:
1. Prevención:
Evitan que la seguridad sea violada en puntos o aspectos analizados con antelación para lo
cual se utilizan métodos como la autenticación, el control de acceso y la separación de niveles de
seguridad para crear un sistema más robusto. También se usan diferentes formas para proteger la
información en su integridad y confidencialidad cuando viaja por la red (Cifrado).
2. Detección:
Detectan las desviaciones si se producen, violaciones o intentos de violación de la seguridad
del sistema.
3. Recuperación:
Se aplican cuando se ha detectado una violación de la seguridad del sistema para recuperar su
normal funcionamiento.
11.2 CARACTERÍSTICAS DE UNA POLÍTICA
Las políticas deben contener mínimo los siguientes ítems22:
Autor: Persona que realiza la política.
Administrador: Persona que tiene el control sobre el documento y quien tiene la
potestad de autorizar o denegar el acceso al mismo para editar, copiar, leer o
eliminarla.
Guardián: Persona que guarda el documento físicamente y lleva a cabo los propósitos
del administrador sobre la manera de acceder al documento.
22 Rubén Bustamante Sánchez. SEGURIDAD EN REDES [En línea].
<http://www.uaeh.edu.mx/docencia/Tesis/icbi/licenciatura/documentos/Seguridad%20en%20redes.pdf> [Citado el 22 de agosto de 2014]
40
Usuario: Persona que lee y acata el documento.
Definiciones: Cuando la política utilice lenguaje especializado debe contener un
glosario de términos con el fin de que los usuarios puedan entender las políticas de
forma precisa.
Propósitos: Las políticas deben tener la finalidad por la cual se debe acatar las políticas
allí estipuladas.
La administración de la organización es la que se encarga de definir las políticas de seguridad
de la empresa, justificado en que estas afectan a todos los usuarios de la misma. La empresa debe
contar con un documento formal que esté elaborado pertinentemente sobre el tema y que debe ser
conocido por todos los trabajadores, debido a que este documento es la referencia que define los
objetivos de seguridad, las reglas y las medidas que deben implementarse para tener la certeza de
alcanzar los mismos.
A continuación se listan las características más relevantes que debe tener una política23:
No es necesario un gran nivel de detalle al momento de crear las políticas sin embargo
deben ser específicas y no deben dar lugar a segundas interpretaciones.
Las políticas deben lograr la concienciación, entendimiento y compromiso de todas las
personas involucradas para el cumplimiento de las mismas.
Las políticas deben contener claramente las prácticas adoptadas por la compañía, es decir
los propósitos o la finalidad por los cuales se crean las políticas. Estas deben plasmar el
compromiso de sus altos cargos con la misma.
Las políticas deben ser revisadas y actualizadas periódicamente por el administrador de la
seguridad, en caso de ser necesario.
Las políticas deben definir qué es la seguridad de la información, cuáles son sus objetivos
principales y su importancia dentro de la organización.
Las políticas deben definir la filosofía respecto al acceso a los datos
23 Elvira Mifsud. Introducción a la seguridad informática – políticas de seguridad [En línea]. <http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040-introduccion-a-la-seguridad-informatica?start=4> [Citado el 24 de agosto de 2014]
41
Las políticas deben establecer las responsabilidades que deben asumir los usuarios de
acuerdo a la falta o acto.
Las políticas deben ser el paso anterior para el diseño y establecimiento de normas y
procedimientos referidos:
Organización de la seguridad
Clasificación y control de los datos
Seguridad de las personas
Seguridad física y ambiental
Plan de contingencia
Prevención y detección de virus
Administración de los computadores
A partir de las políticas se desarrollan, las normas, y posteriormente los procedimientos
de seguridad guía para la ejecución de las actividades.
La seguridad informática de una compañía depende de que los empleados (usuarios)
aprendan las reglas a través de sesiones de capacitación y de concientización.
42
43
CAPITULO III
12. CREACIÓN DE POLITICAS DE SEGURIDAD
En este capítulo se crean las políticas de seguridad de acuerdo a los requerimientos básicos
definidos previamente en el capítulo uno del trabajo. Se realizan a partir de varios criterios por lo
que están encasilladas de acuerdo a un tema específico para mayor comprensión.
12.1 CONTRASEÑAS
1. LONGITUD DE CONTRASEÑA
Política: Los empleados de la empresa deben utilizar una contraseña de seguridad para el acceso a
los recursos y a la red. La longitud de esta contraseña debe tener un mínimo de diez (10)
caracteres y una longitud máxima de 255 caracteres.
2. COMPLEJIDAD DE CONTRASEÑA
Política: Los empleados de la empresa deben utilizar contraseñas complejas que sean difíciles de
descifrar. Por lo tanto no se podrán utilizar palabras de uso común o de diccionario como “casa,
maria, luna, etc”, series de caracteres o números como “qwertyuiop” o “1234567890”,
información relacionada con el empleado como número de identificación o teléfono.
3. CONTRASEÑAS REPETIDAS
Política: Los empleados de la empresa no deben utilizar contraseñas que hayan sido utilizadas
anteriormente o similares.
44
4. ESTRUCTURA DE LA CONTRASEÑA.
Política: Los empleados de la empresa deben utilizar contraseñas que contengan tanto números
como letras alfabéticas y caracteres especiales como signos de puntuación o caracteres no
impresos. Además, la contraseña deberá tener letras mayúsculas y minúsculas.
5. CONTRASEÑAS GENERADAS POR EL ADMINISTRADOR:
Política: Si el empleado de la empresa utiliza contraseñas generadas por sistema o administrador,
estas deben generarse aleatoriamente a través de la utilización de software especializado.
.
6. ALMACENAMIENTO DE CONTRASEÑAS
Política: Los empleados de la empresa no deben almacenar la contraseña en ninguna de las
terminales o computadoras de la empresa, ni tampoco en las computadoras de la casa o sus
dispositivos móviles.
7. ALMACENAMIENTO DE CONTRASEÑAS
Política: Los empleados de la empresa deben entender que su usuario y contraseña asignados a
ellos son intransferibles, y que cualquier utilización indebida del usuario y contraseña por un
empleado distinto para el cual fueron creados, tendrá sanciones disciplinarias y legales sobre el
dueño original del usuario y contraseña, así como también para quien la utiliza.
8. CAMBIO DE CONTRASEÑAS
Política: El administrador de la seguridad debe asegurarse que la contraseña de los empleados sea
cambiada por lo menos una vez al mes. Por lo que si el usuario no la cambia, entonces el
administrador la cambie y le informe al usuario del cambio de contraseña. El administrador de
red, es el único que tiene la capacidad de realizar el cambio de contraseña de los usuarios de
45
acuerdo a una fecha estipulada en la cual se deben realizar los cambios de las contraseñas, o a
petición de los usuarios, que la pueden solicitar a través del correo electrónico.
12.2 CONTROL DE ACCESO
1. ACCESO A LA COMPUTADORA
Política: El administrador de la seguridad debe configurar las computadoras para que solo puedan
ser utilizadas por empleados que hayan ingresados sus datos de usuario y contraseña al momento
de encender la computadora.
2. ACCESO A LA RED
Política: El administrador de la seguridad debe garantizar que únicamente empleados autorizados
puedan acceder a la red de la empresa a través de mecanismos de autenticación con usuario y
contraseña.
3. CUENTA DE USUARIO
Política: El administrador de la seguridad debe garantizar que todos los empleados cuenten con
una única cuenta de usuario y contraseña para el acceso a la red de la empresa.
4. LISTA DE USUARIOS
Política: El administrador de la seguridad debe contar con una base de datos con una lista
actualizada en la cual esté relacionado los empleados de la empresa junto con sus cuentas de
usuario.
5. REGISTRO DE ACTIVIDADES
Política: El administrador de la seguridad debe mantener un registro de las actividades de los
empleados en la red para posteriormente detectar anomalías y comportamientos sospechosos o
46
potencialmente peligrosos para la red de la empresa.
6. ACCESO A INTERNET
Política: El administrador de la seguridad debe garantizar que únicamente empleados autorizados
puedan hacer uso de Internet.
7. RESTRICCIÓN A SITIOS DE INTERNET
Política: El administrador de la seguridad debe garantizar que los empleados no puedan visitar
sitios de internet potencialmente peligrosos para la seguridad de la empresa o que estén en contra
de la estrategia laboral de la empresa.
8. CORREO ELECTRONICO
Política: Los empleados y administradores de red de la empresa no deberán ejecutar ningún
archivo que se encuentre en correos no deseados (SPAM) o que provenga de personas
desconocidas.
9. ENVIAR DATOS POR CORREO
Política: Los empleados y administradores de red de la empresa no deberán suministrar sus datos
de usuario y contraseña por una solicitud recibida a través del correo de cualquier entidad o la
misma empresa debido a que podrían ser víctimas de phishing.
10. USO DEL CORREO
Política: Los empleados y administradores de red de la empresa deben utilizar únicamente el
correo corporativo con fines laborales y no para otra actividad. Queda prohíbo utilizar el correo
personal.
47
12.3. DOCUMENTACIÓN
1. MANUAL DEL EMPLEADO
Política: El administrador de la seguridad debe preparar un manual de operación para que
empleados de la empresa puedan utilizar la red de manera segura.
2. NORMAS Y MEDIDAS DE SEGURIDAD
Política: El administrador de la seguridad debe preparar un documento en el cual informe al
personal sobre las normas y medidas de seguridad que les son aplicables.
3. CANAL DE COMUNICACIÓN
Política: El administrador de la seguridad debe estipular en un documento la identificación del
personal a cargo de la seguridad de la empresa, así como también sus datos de localización para
poder contactarles en caso de emergencia.
4. MANUAL DE LA RED
Política: El administrador de la seguridad debe contar con un documento en el cual se encuentre
información concerniente a la topología de la red (descripción y estructura del Sistema
Informático enumeración de equipos, redes, programas) y su forma actual en la que se administra
para que en caso de cambio de personal, se acople fácilmente a la red.
5. ACCESO A LA DOCUMENTACIÓN
Política: El administrador de la seguridad debe crear un documento en el cual esté la
identificación y forma de localización del encargado de la protección de la documentación.
6. ALMACENAMIENTO DE LA DOCUMENTACIÓN
Política: Toda la documentación debe ser guardada en un repositorio para que esté a disposición
de la empresa y esta información pueda ser gestionada por el administrador de red que trabaje
actualmente o para aquellos que empiecen a trabajar en el futuro.
48
7. DIFUSIÓN
Política: Las políticas de seguridad deben darse a conocer a los empleados en el momento en el
cual reciben el contrato de trabajo laboral, por lo que el administrador debe dar a conocer la
dirección a todos los empleados de la empresa, del sitio en el cual se puedan consultar las
políticas de seguridad.
12.4. CONTROL DE TRÁFICO
1. ANCHO DE BANDA
Política: El administrador de la seguridad debe garantizar que la red no se sobrecargue por el uso
desmedido del ancho de banda para evitar caídas. Por tal razón debe restringir el acceso a sitios
de internet que demanden gran ancho de banda como por ejemplo sitios web en los cuales se
transmitan partidos de futbol y sitios como YouTube, entre otros.
2. SEGMENTAR EL TRÁFICO DE LA RED
Política: El administrador de la seguridad debe segmentar el tráfico de red con el fin de asignar
privilegios de acuerdo a las funciones de los empleados.
12.5. CONTROL DE ACTUALIZACIONES
1. SOFWARE
Política: El administrador de seguridad debe mantener siempre actualizado el software (sistemas
operativos, aplicaciones) utilizado en la red de datos, por lo que debe estar revisando el estado de
las actualizaciones periódicamente. Queda prohibido que los usuarios realicen actualización o
instalación de algún tipo de software sin la autorización expresa del administrador de red.
49
2. ANTIVIRUS
Política: El administrador de la seguridad debe mantener actualizado el antivirus de los elementos
conectados a la red por lo que deberá actualizar diariamente las bases de datos de los antivirus.
3. DOCUMENTOS.
Política: El administrador de la seguridad debe mantener actualizada la documentación referente
a los empleados y la red de acuerdo a la seguridad de la red.
4. DISPOSITIVOS DE RED
Política: El administrador de la seguridad debe mantener actualizado el sistema operativo y las
configuraciones de los dispositivos de red, si dicha actualización o configuración soluciona
alguna vulnerabilidad de seguridad que pueda afectar el buen funcionamiento de la red. Para la
ejecución de la tarea, el administrador debe informar con anticipación al gerente y a los usuarios
con el fin de evitar alguna falla en la red. Además, en caso de que la actualización o
configuración que se implemente produzca perdida del servicio de la red por un largo tiempo,
esta tarea debe realizarse en horario no hábil, en el cual no se afecte la operatividad de la
empresa.
12.6. USO DE LA COMPUTADORA
1. INSTALACION DE SOFWARE
Política: Los empleados de la empresa no deben instalar software de procedencia dudosa y que no
contengan licencia de uso a nivel comercial para no incurrir ante la ley de derechos de autor.
2. MANIPULACIÓN DEL SOFTWARE
Política: Los empleados de la empresa no deben instalar el software de la empresa en sus
computadoras personales.
50
3. DESINSTALACIÓN DE SOFTWARE
Política: Los empleados de la empresa no deben desinstalar ningún tipo de software de los
computadoras de trabajo
12.7. RESPALDO
1. COPIAS DE DATOS
Política: El administrador de seguridad de la red debe crear periódicamente un respaldo de la
bases de datos de la empresa para prevenir la pérdida de la información en caso de un accidente.
2. COPIAS DE SEGURIDAD
Política: El administrador de seguridad de la red debe crear periódicamente un respaldo de la
configuración de seguridad del servidor encargado de dicha labor. La dirección del sitio donde
están guardados los respaldos debe estar estipulada en la documentación que maneja el
administrador de red, dicha documentación deberá ser guardada en un repositorio especial que se
utilizara para que la empresa pueda capacitar a un nuevo administrador de red, en caso de ser
necesario.
3. COPIAS DE DISPOSITIVOS DE RED
Política: El administrador de seguridad de la red debe crear periódicamente un respaldo de la
configuración de los dispositivos de red encargados de la comunicación de la información, tales
como Router y Switch, entre otros.
51
52
CAPITULO IV
En este capítulo se realizan las pruebas de las políticas de seguridad creadas para la topología
de red especificada y el servidor PFSNSE. La red es diseñada en GNS3 y las terminales son
simuladas con VMWare Workstation 10.
13. PUESTA EN PRÁCTICA DE LAS POLÍTICAS EN LA RED
13.1 CREACIÓN DE LOS CLIENTES
Los clientes se simulan en máquinas virtuales con ayuda del software VMware® Workstation
10. El software permite crear las máquinas virtuales donde están instalados los clientes y el
servidor principal de la red, en donde estará instalado el servidor PFSENSE.
Figura 2. Interface de VMware Workstation
Fuente: Autor
Cada máquina virtual para los clientes cuenta con un procesador dedicado con un núcleo, un
tamaño de memoria RAM virtual de 512 MB, un tamaño de disco duro virtual variable que
cambia dinámicamente de acuerdo a la demanda de almacenamiento que se solicite, todo lo
anterior para reducir el consumo de procesamiento del equipo anfitrión en donde se ejecuta la
53
simulación. En cada máquina virtual se instala un sistema operativo de bajo rendimiento como
XP.
Para que los clientes puedan trabajar en conjunto con la simulación en GNS3, cada cliente
debe tener asignada una red virtual junto con una dirección IP en VMware Workstation (Figura
22).
Figura 3. Edición del tipo de red Fuente: Autor
Para editar el tipo de red, se selecciona el adaptador de red en el panel izquierdo y luego la
opción del panel derecho “Custom specific virtual network” para elegir la red virtual a la cual es
asignado el adaptador. Para el cliente uno se elige la red virtual “VMnet5” mientras que para el
cliente dos y tres se les asigna las redes virtuales “VMnet6” y “VMnet7” respectivamente. Sin
embargo, estos adaptadores de red aun no cuentan con una dirección IP, por lo que se les asigna
más adelante.
13.2 CREACIÓN DEL SERVIDOR PFSENSE
PFSENSE es una distribución de Linux que trabaja con la versión 2.6.x. del kernel, debido a
esto al momento de crear la máquina virtual, esta deberá ser configurada para que trabaje con
dicha versión del kernel (Figura 4).
54
Figura 4. Selección del sistema operativo y kernel Fuente: Autor
El servidor a diferencia de los clientes, cuenta con tres tarjetas de red de acuerdo a la topología
(Figura 1). El servidor utiliza una tarjeta para la red LAN, una para la DMZ y otra para la
conexión a internet. Cada adaptador de red queda asignado a una red virtual con una dirección IP
para cada uno. En el caso mostrado, el primer adaptador se asocia con la red virtual “VMnet2”
para que trabaje como el acceso hacia internet, el segundo adaptador se asocia con la “VMnet3”
para que trabaje como acceso a la red LAN y el tercer adaptador con la “VMnet4” para que
trabaje con la DMZ. Los adaptadores quedan configuradas como se muestra (Figura 5).
55
Figura 5. Asignación de redes virtuales al servidor
Fuente: Autor
Una vez agregadas las redes virtuales, se configuran las direcciones IP que identifican cada
red virtual a través de la herramienta “Virtual network Editor” de VMware Workstation 10. La
tabla 1 muestra las direcciones IP relacionadas con la red virtual a la que identifican.
TABLA 1. DIRECCIONES IP DE REDES VIRTUALES.
RED DIRECCIÓN IP ASCARA USO
VMnet2 172.16.0.0 255.255.255.0 Acceso a internet
VMnet3 172.16.1.0 255.255.255.0 Acceso a LAN
VMnet4 172.16.2.0 255.255.255.0 Acceso a DMZ
VMnet5 192.168.101.0 255.255.255.0 Cliente 1
VMnet6 192.168.102.0 255.255.255.0 Cliente 2
VMnet7 192.168.103.0 255.255.255.0 Cliente 3
En la tabla 1 se observa que los clientes quedan en un segmento de red diferente por lo cual se
trabaja en VLAN’s diferentes. Después de asignar las direcciones IP, VMware Workstation
genera adaptadores de red virtuales en Windows (Figura 6) que deben ser configurados para que
queden asociados correctamente a las redes virtuales para los cuales fueron generados.
56
Figura 6. Adaptadores de red virtuales de Windows Fuente: Autor
Cada adaptador se configura de la misma forma que se configura la dirección IP del adaptador
de red Ethernet de Windows. Los adaptadores de red se configuran de acuerdo a la tabla 2.
TABLA 2. DIRECCIONES IP DE LOS ADAPTADORES DE RED
RED ADAPTADOR DIRECCIÓN IP MASCARA
VMnet2 VMware Network Adapter
VMnet2
172.16.0.5 255.255.255.0
VMnet3 VMware Network Adapter
VMnet3
172.16.1.5 255.255.255.0
VMnet4 VMware Network Adapter
VMnet4
172.16.2.5 255.255.255.0
Cliente 1 VMware Network Adapter
VMnet5
192.168.101.200 255.255.255.0
Cliente 2 VMware Network Adapter
VMnet6
192.168.102.200 255.255.255.0
Cliente 3 VMware Network Adapter
VMnet7
192.168.103.200 255.255.255.0
Los adaptadores son importantes debido a que el simulador GNS3 los utiliza para crear una
conexión con la simulación de la red.
13.3 DISEÑO DE LA RED EN GNS3
GNS3 es un simulador gráfico de redes gratuito que permite diseñar fácilmente topologías de
red y luego ejecutar simulaciones en él. Este software soporta diferentes tipos de IOS de routers,
57
ATM/Frame Relay/switchs Ethernet y PIX firewalls. Además, permite extender la red propia del
usuario, conectándola a la topología virtual debido a que GNS3 está basado en Dynamips,
QEMU (incluyendo el encapsulador) y en parte en Dynagen, y también utiliza la tecnología SVG
(Scalable Vector Graphics) para proveer símbolos de alta calidad para el diseño de las topologías
de red.
Dynamips es un emulador de routers Cisco escrito por Christophe Fillot que emula las
plataformas 1700, 2600, 3600, 3700 y 7200 y ejecuta imágenes de IOS estándar. Puede ser
utilizado como plataforma de entrenamiento, utilizando software del mundo real, permitiendo
familiarizarse con dispositivos Cisco, siendo Cisco el líder mundial en tecnologías de redes.
También permite verificar configuraciones rápidamente que serán implementadas en routers
reales. Por supuesto, este emulador no puede reemplazar a un router real, es simplemente una
herramienta complementaria para los administradores de redes Cisco o para aquellos que desean
aprobar los exámenes de CCNA/CCNP/CCIE.
La versión de GNS3 que se utiliza es la 0.8.6 bajo licencia GPL v2. La interface está
compuesta por (Figura 7) un panel en la parte izquierda donde se sacan los dispositivos que se
utilizan en el diseño de la red, una barra de herramientas en la parte superior que se encarga
principalmente de encender y apagar todos los dispositivos que se estén usando en el diseño; el
panel inferior derecho muestra todos los dispositivos que estén utilizando en el diseño, mientras
que el panel superior derecho muestra la interfaces de los dispositivos a las cuales se les esté
capturando el tráfico que pasan por éstas.
58
Figura 7. Interface de GNS3
Fuente: Autor
Para poder utilizar dispositivos de GNS3, estos deben contar con el IOS apropiado. Para la
práctica se utiliza Router C2691. Los servidores y clientes que se crean con VMware Workstation
se pueden enlazar con la simulación en GNS3 con la herramienta “Cloud” ubicada en la
herramienta “host” (Figura 9).
Figura 8. Herramienta Cloud) Fuente: Autor
Estas “Cloud” o nubes permiten apuntar directamente a una máquina virtual o a una interface
física de la computadora anfitriona donde está el software instalado; ésta interface física puede
ser la tarjeta Ethernet o la tarjeta WIFI.
59
El Router 1, en el “slot 0” contiene dos interfaces Fast Ethernet al igual que el Router 2,
mientras que en el segundo slot contiene 16 interfaces Fast Ethernet pero del tipo que se utilizan
en los switch (Figura 9). Este segundo slot se utiliza porque se necesita tener una de las interfaces
como una troncal en la cual habrá varias VLANs, por lo que se conecta con un switch.
Figura 9. Interfaces del Router 1.
Fuente: Autor
Cada Cloud debe tener la direcciones de los adaptadores a los cuales van a apuntar. El cliente
uno (departamento 1) apunta hacia el adaptador de red que identifica la VMnet5 (Figura 10), el
cliente dos (departamento 2) y tres (departamento 3) apuntarán hacia los adaptadores de red
VMnet seis y siete respectivamente.
Figura 10. Configuración de la Cloud cliente 1
Fuente: Autor
En la Figura 1, la Cloud de internet debe apuntar a un adaptador de tipo Loopback que permita
el acceso a internet por parte de la simulación al permitir compartir el internet de la tarjeta
60
inalámbrica del computador anfitrión con la red en GNS3. Esta tarjeta se agrega a través de
Windows como sigue a continuación.
Para esto se debe ingresar al administrador de dispositivos de Windows, después ingresar al
menú “Acción” y seleccionar la opción “Agregar hardware heredado”.
Figura 11. Adición de nuevo adaptador de red “Loopback” Fuente: Autor
Aparecerá un asistente brindando información sobre la tarea que permitirá realizar y después
se elige la segunda opción para agregar el hardware de forma manual, debido a que se debe
agregar un adaptador de red de tipo Loopback (Figura 12).
Figura 12. Adición manual del adaptador
Fuente: Autor
61
Después aparece una ventana en la cual se selecciona el tipo de hardware que se desea instalar.
En este caso se elige “Adaptadores de red”.
Figura 13. Tipo de adaptador
Fuente: Autor
Luego se selecciona el tipo de adaptador, en éste caso el fabricante que se elige es Microsoft y
el adaptador “Adaptador de bucle invertido de Microsoft”. Una vez hecho esto el adaptador estará
disponible para Windows, por lo que se podrá compartir internet entre la tarjeta de internet
inalámbrica y la tarjeta Loopback creada.
Figura 14. Selección de adaptador
Fuente: Autor
62
El adaptador de red ha sido creado correctamente (Figura 15).
Figura 15. Adaptador creado correctamente
Fuente: Autor
Después de tener el adaptador, se configura la tarjeta de internet inalámbrica para que
comparta el internet con el adaptador creado. Esto se logra dando clic sobre el adaptador
inalámbrico y seleccionando la opción de “Propiedades”. Una vez allí se da clic en la pestaña de
“Uso compartido”, luego se selecciona la casilla “Permitir que los usuarios de otras redes se
conecten a través de la conexión a internet de este equipo” y después se elige el adaptador de red
con el cual se desea compartir internet, en este caso se comparte internet con la Loopback creada.
Figura 16. Compartir internet con Loopback Fuente: Autor
63
El adaptador de red se configura para que trabaje con la dirección IP 192.168.137.1 con
mascara de subred 255.255.255.0. Ésta configuración se puede realizar de la misma forma que
para los demás adaptadores de red configurados anteriormente. Finalmente se podrá conectar la
Cloud de internet con el adaptador de red de tipo Loopback para que la red simulada pueda
acceder a internet.
Figura 17. Red creada en GNS3
Fuente: Autor
Se observa una línea de color rojo punteada (Figura 17), no está realizando ninguna función en
la red, sin embargo sirve para decir que hay una conexión interna gracias al software VMware
Workstation. Esto significa que todo lo que se envíe hacia la red VMnet4, se enviará a una de las
interfaces del servidor proxy y al servidor WEB de forma simultánea. Esta conexión interna
ocurre porque tanto el servidor WEB como una de las interfaces del proxy están utilizando la
misma VMnet4. Esto se hizo para que el servidor WEB y la interface del servidor proxy que
conecta la DMZ, estuvieran en la misma subred, por lo menos de forma simulada.
64
13.4 CONFIGURACIÓN DE LOS DISPOSITIVOS DE LA RED
13.4.1 SWITCH 1 (SW 1)
El switch 1 cuenta con 4 interfaces las cuales quedan distribuidas de acuerdo a la tabla 3. Se
ha optado por utilizar VLANs debido a que esto refleja un entorno más cercano a la forma en la
que opera una red real en una empresa y también porque los clientes creados en VMware
Workstation están en subredes diferentes. La interface 4 se conectará con el router y permitirá
comunicar todas las VLANs a través de una troncal, por lo cual ésta interface es de tipo “dot1q”
(encapsulación para el enrutamiento inter vlan).
TABLA 3. DISTRIBUCIÓN DE VLANS EN EL SWITCH 1
INTERFAC
E
VL
AN
FUNCIÓN CLIENT
ES
1 2 Gerencia Cliente 1
2 3 Directivos Cliente 2
3 4 Operativos Cliente 3
4 1 TRONCAL
Para crear las VLANs basta con agregar el puerto, la VLAN a la que pertenecerá y el tipo. Los
puertos 1, 2 y 3 se crean como acceso “Access” a las VLANs mientras que el puerto 4 se crea
como una troncal que permitirá transportar las VLANs hacia el router 1.
Figura 18. Configuración del switch 1 Fuente: Autor
65
13.4.2 ROUTER 1
En el router 1 se configura DHCP para que suministre las direcciones IP hacia los clientes de
forma dinámica de acuerdo a la direcciones que haya disponibles.
Figura 19. Startup-config del router 1, DHCP Fuente: Autor
Se observa que hay configurados tres tipos de DHCP (Figura 19) debido a que se están
manejando tres VLANs. La subred o VLAN de Gerencia tendrá disponibles las direcciones IP
entre 192.168.101.2 y 192.168.101.254 correspondientes a la red 192.168.101.0 con máscara
255.255.255.0. La dirección 192.168.101.1 se deja como dirección por defecto, que identificará
la puerta de enlace (Gateway) de los clientes de la VLAN. Además brindará el servicio de DNS a
través de las direcciones IP 172.16.2.2 y 8.8.8.8 (Servidor DNS de Google). Esto se hace para
que en caso de que alguna no funcione, entonces la otra suministre el servicio. En la simulación
solo funcionará el servidor de Google debido a que en la zona desmilitarizada no se ha creado
ningún servidor DNS, solo se pone la dirección con el fin de ver como seria la configuración en
una red real.
La VLAN de Directivos tendrá disponibles las direcciones IP entre 192.168.102.2 y
192.168.102.254 correspondientes a la red 192.168.102.0 con máscara 255.255.255.0. La
dirección 192.168.102.1 se deja como dirección por defecto, que identificará la puerta de enlace
66
de los clientes de la VLAN. También brindará el servicio para DNS al igual que la VLAN de
Gerencia.
La VLAN de Operativos tendrá disponibles las direcciones IP entre 192.168.103.2 y
192.168.103.254 correspondientes a la red 192.168.103.0 con máscara 255.255.255.0. La
dirección 192.168.103.1 se deja como dirección por defecto, que identificará la puerta de enlace
de los clientes de la VLAN. También brindará el servicio para DNS al igual que la VLAN de
Gerencia.
La interface Fast Ethernet0/0 contará con la dirección IP 172.16.1.2 con máscara
255.255.255.0 y se comunicará directamente con el servidor. La interface Fast Ethernet 1/0 no
tiene dirección IP debido a que, ésta interface es del mismo tipo que se usa en el switch y por lo
tanto se configura en modo Troncal “Trunk” para que trasporte las VLANs con el switch.
Figura 20. Configuración de las interfaces del Router
Fuente: Autor
Las VLANs se configuran de tal manera que las direcciones IP de cada una correspondan a las
direcciones que se dejaron por defecto en la configuración del DHCP. De ésta forma la VLAN 2
correspondiente a la Gerencia tendrá la dirección IP 192.168.101.1 con máscara 255.255.255.0, la
VLAN 3 correspondiente a los Directivos tendrá la dirección IP 192.168.102.1 con máscara
255.255.255.0, la VLAN 4 correspondiente a los Operativos tendrá la dirección IP 192.168.103.1
con máscara 255.255.255.0.
67
Figura 21. Configuración de las VLAN en el Router
Fuente: Autor
El enrutamiento se configura de tal forma que cualquier subred con cualquier máscara salga o
se comunique por la dirección 172.16.1.1 con el servidor.
Figura 22. Enrutamiento del router 1
Fuente: Autor
13.4.3 ROUTER 2
La interface Fast Ethernet0/0 se comunicará directamente con el servidor y tendrá la dirección
IP 172.16.0.2 con mascara 255.255.255.0 debido a que están en la misma subred, mientras que la
interface Fast Etherner0/1 se conectara con la Cloud de internet y tendrá la dirección IP
192.168.137.2 con mascara 255.255.255.0 debido a que estará en la misma red que el adaptador
de red Loopback creado anteriormente.
Figura 23. Configuración de las interfaces del router 2 Fuente: Autor
68
El enrutamiento del router 2 es de tipo estático y funciona de la siguiente manera:
- Cualquier subred con cualquier máscara se comunicará o saldrá por la dirección IP
192.168.137.1. Ésta última dirección corresponde al adaptador Loopback que permite la
conexión de la simulación hacia internet.
- La subred 172.16.0.0 con mascara 255.240.0.0 se comunicara o saldrá por la dirección IP
172.16.0.1, la cual conecta al router con el servidor. Esto indica que para poder llegar a la
subred 172.16.0.0 se puede hacer a través de la dirección IP 172.16.0.1.
- La subred 192.168.0.0 con máscara 255.255.0.0 se podrá alcanzar o llegar a través de la
dirección IP 172.16.0.1, la cual es la dirección de la interface del servidor que se
comunica con el router.
Las direcciones IP anteriores, son las direcciones padre de cada subred y por ello se deben
ingresar para realizar el enrutamiento de forma clara, en lugar de colocar subred por subred.
Figura 24. Enrutamiento del router 2
Fuente: Autor
Para verificar que el router 2 está conectado a internet se hace un ping a los servidores DNS de
Google, concretamente a la dirección 8.8.8.8.
Figura 25. Verificación de conectividad del router 2 con internet
Fuente: Autor
69
El router 2 ya está conectado con internet (Figura 25), por lo cual se procede a realizar las
prácticas con el servidor proxy.
13.5 SERVIDOR PFSENSE
Para realizar las prácticas se utiliza PFSENSE como sistema operativo para el servidor donde
estará instalado el servicio de proxy para la red. Este sistema cuenta con características de
enrutamiento, lo cual permitirá que los servicios proxy instalados en ellos, puedan operar de
forma rápida y sencilla. Otra ventaja importante de estos sistemas operativos es que funcionan en
computadoras con pocas prestaciones de hardware, lo que los hace muy atractivos para la
implementación en equipos económicos.
PFSENSE se utiliza en la práctica, fundamentado en que es un sistema operativo enfocado a la
seguridad que cuenta con servidor proxy llamado SQUID con grandes capacidades de
funcionamiento. PfSense es una distribución gratuita que está basada en FreeBSD, derivada de
m0n0wall, cuyo objetivo principal es tener un Firewall fácil de configurar, a través de una
interfaz amigable con el usuario y que se pudiera instalar en cualquier computadora, incluyendo
computadoras de una sola tarjeta. Está adaptado para su uso como Firewall y Router. Cuenta con
una interfaz web sencilla para su configuración y actualmente es sostenido comercialmente por
BSD Perimeter LLC.
Pfsense incluye todas las características de un firewall comercial caro y muchos más en
algunos de los casos. Entre sus funciones se encuentran las siguientes: Firewall, tabla de estado,
Network Address Translation (NAT), balanceo de carga, redundancia, VPN (OpenVPN, IpSec,
PPTP), servidor PPPoE, servidor DNS, portal cautivo, servidor DHCP, monitoreo y gráficos en
tiempo real, y proxy; entre otros. Además cuenta con un gestor de paquetes para ampliar todavía
más sus funcionalidades. Simplemente se elige el paquete deseado y el sistema automáticamente
lo descarga y lo instala como por ejemplo Squid (proxy), Lo que quiere decir que pfSense no se
queda como un simple Firewall, sino que se puede adaptar según las necesidades.
70
13.5.1 SERVICIO SQUID
Squid es un Servidor Intermediario de alto desempeño ampliamente utilizado entre los
sistemas operativos como GNU/Linux y derivados de Unix®. Es muy confiable, robusto, versátil
y se distribuye bajo los términos de la Licencia Pública General GNU (GNU/GPL). Squid puede
funcionar como Servidor Intermediario y caché de contenido de red para los protocolos HTTP,
HTTPS, FTP, GOPHER y WAIS, Proxy de SSL, caché transparente, WWCP, aceleración HTTP,
caché de consultas DNS y otras muchas más como filtración de contenido y control de acceso por
IP y por usuario24.
13.5.2 INSTALACIÓN DE PFSENSE
Para instalar el servidor se enciende la máquina virtual creada anteriormente. Una vez
arrancada, automáticamente detecta las tres interfaces de red que se instalaron previamente en la
creación de la máquina virtual y lo primero que pregunta es, si se desea configurar las VLANs.
En éste caso no se crearan VLANs. Posteriormente solicitará que se ingrese el nombre de la
interface WAN por lo que se elegirá la “le0”.
Figura 26. Configuración de las interfaces del servidor PFSENSE
Fuente: Autor
24 http://www.squid-caché.org/Doc/ ---------20/08/2014
71
De la misma forma se configuran las demás interfaces quedando de la siguiente manera.
Figura 27. Configuración de las interfaces del servidor PFSENSE
Fuente: Autor
Después aparece un menú mostrando las direcciones IP de cada una de las interfaces junto con
el protocolo empleado y la red que permitirá conectar. El menú se utiliza para cambiar las
direcciones y configuración del servidor según la necesidad.
Figura 28. Menú de configuración de PFSENSE
Fuente: Autor
Las direcciones IP de las interfaces se configuran de acuerdo a la tabla 4. En ésta tabla se
observa que se están utilizando mascaras de 24, es decir la dirección de la máscara es
255.255.255.0.
72
TABLA 4. DIRECCIONES IP DE LAS INTERFACES DE PFSENSE
INTERFACE RED DIRECCIÓN IP
le0 WAN 172.16.0.1/24
le1 LAN 172.16.1.1/24
le2 DMZ 172.16.2.1/24
De acuerdo a la tabla 4 se observa que el servidor se toma como una Gateway que tiene la
capacidad de enrutar y por ello, es a éste que se le asignan las direccione IP correspondientes a
puertas de enlace (Gateway). Para configurar las interfaces se elige la opción número 2 “Set
Interface(s) IP address”, luego se debe ingresar la interface que se desea configurar, en este caso
es la interface que conecta con la WAN. Después se deshabilita DHCP debido a que se usará una
dirección estática, la cual es ingresada posteriormente junto con la máscara de red.
Figura 29. Configuración de la interface WAN
Fuente: Autor
De la misma forma se configuran las otras dos interfaces (Figura 30). Además se observa la
dirección IP por la cual se podrá acceder a la página web para configurar PFSENSE de una forma
más amigable para el administrador de la red. Esta dirección es la 172.16.1.1.
73
Figura 30. Resumen de configuración de PFSENSE
Fuente: Autor
Finalmente se debe instalar el sistema operativo por lo que se ingresa en el menú la opción 99.
Una vez instalado se ingresa al servidor a través de la página web con la dirección IP
“https://172.16.1.1” (Figura 30).
Figura 31. Interface de usuario para acceder a la página web Fuente: Autor
El username por defecto es “admin” mientras que el password por defecto es “pfsense”.
Después de haber ingresado a la interface se procede a agregar una regla al firewall del servidor
para que se pueda gestionar el servidor desde la WAN, es decir a través de la dirección IP
172.16.0.1. Sin embargo, debido a que para la práctica no se cuenta con una dirección IP pública,
74
no es posible acceder desde una red externa, solo es posible acceder desde el computador
anfitrión de la máquina virtual. Para agregar la regla se selecciona la pestaña “Firewall” y la
opción “Rules”.
Figura 32. Adición de reglas al firewall de PFSENSE Fuente: Autor
Para agregar la regla a la interface WAN, se selecciona la pestaña WAN y luego se oprime el
botón con signo de adición “+”. Ésta regla indica que desde cualquier puerto, cualquier dirección,
con destino a la WAN, se tendrá acceso garantizado a través del protocolo TCP/IPv4.
Figura 33. Regla de firewall para acceso externo a PFSENSE Fuente: Autor
75
Para configurar la DMZ se elige la pestaña “DMZ y se agrega la regla de la misma forma que
para la WAN. En esta regla se permite el acceso desde cualquier fuente hacia cualquier destino de
la red.
Figura 34. Regla de firewall para la DMZ
Fuente: Autor
La red LAN tendrá las mismas características que las mencionadas anteriormente, lo que
significa que el servidor permite la conexión entre todas las subredes junto con internet.
Figura 35. Configuración de la LAN en PFSENSE
Fuente: Autor
76
Las configuraciones anteriores se realizan debido a que, el servidor solo será implementado en
una práctica, en un entorno en el cual no hay riesgos de seguridad, justamente porque el servidor
solo se usará como servidor proxy para administrar la seguridad en el acceso web.
Aún falta configurar el servidor pfsense para que se conecte a internet y pueda acceder a los
servicios DNS que provee Google. Para realizar esto se da clic sobre la pestaña “System” y luego
sobre “Setup wizard”.
Figura 36. Acceso a los servidores DNS que utilizara PFSENSE Fuente: Autor
Para utilizar los servidores de Google se ingresan las direcciones IP de los mismos en las
casillas “Primary DNS server” y “Secondary DNS server”.
77
Figura 37. Configuración de los servidores DNS que usara PFSENSE
Fuente: Autor
Para verificar que el servidor está conectado a internet a través de la red simulada en GNS3, se
debe encender el router 2 y luego entrar a la pestaña de “Diagnostics” y dar clic en “Ping”. Para
encender el router solo es necesario dar clic derecho sobre éste y luego dar clic en “Start”.
Figura 38. Verificación de conectividad del servidor
Fuente: Autor
La conectividad del servidor con internet se puede hacer a través de un Ping hacia los
servidores DNS de Google, por lo cual se ingresa la dirección IP destino en la casilla donde se
digita el “Host”. Efectivamente existe conectividad entre el servidor e internet (Figura 39).
78
Figura 39. Ping desde PFSENSE hacia internet
Fuente: Autor
Para que los clientes en las máquinas virtuales puedan conectarse a la red, antes se configuran
los adaptadores de red para que detecten automáticamente la configuración de internet. Para
desarrollar la práctica se encienden las máquinas virtuales clientes y se activa la simulación en
GNS3 pulsando el botón “Start” localizado en la barra de herramientas o simplemente
encendiendo router por router.
Figura 40. Configuración de los clientes para acceder a internet Fuente: Autor
79
14. IMPLEMENTACION DE POLÍTICAS EN PFSENSE
Las políticas se ponen en práctica mediante el servicio SQUID de PFSENSE. Para abrir el
servidor proxy se da clic en la pestaña “Services” y luego sobre “Proxy server”.
Figura 41. Servicio Proxy Fuente: Autor
Lo primero que se debe configurar, es la interface que utiliza el servicio proxy, en este caso
será utilizado por la red LAN. Después se selecciona la casilla “Transparent Proxy” para permitir
que los terminales de la red LAN detecten la configuración proxy de forma automática. Además,
se configura el lenguaje en el cual se muestra el mensaje de error en caso de que los usuarios de
la red LAN traten de acceder a un sitio restringido por el servidor.
Figura 42. Configuración general del servidor
Fuente: Autor
80
14.1 CONTROL DE ACCESO
El control de acceso corresponde a la política sobre el control de acceso vista en el capítulo
12.2. Para restringir las páginas que no deben ser visitadas por los usuarios de la red LAN, se
ingresa a la pestaña “Access control” y se agrega la dirección URL de la página que se quiere
bloquear en la “Blacklist”. Después se da clic en “guardar” para que se activen los cambios.
Figura 433. Bloqueo de www.playboy.com Fuente: Autor
Posteriormente es necesario hacer una pequeña modificación en los navegadores de los
usuarios para que ellos utilicen el proxy para ingresar a internet, debido a que si no se realiza,
entonces los usuarios no podrán acceder a internet. Para configurar el navegador se debe ir a la
barra de herramientas, donde se debe seleccionar herramientas, opciones de internet, Conexiones
y propiedades de LAN.
Figura 444. Configuración de los navegadores de internet Fuente: Autor
81
Ahora está todo listo para acceder a internet, sin embargo una vez que el proxy esta
implementado, éste restringe todo por defecto, por lo que se deben agregar las direcciones URL
de las paginas a las cuales está permitido el acceso.
Figura 455. Acceso a través de proxy
Fuente: Autor
Para permitir la visita a ciertas páginas web, se ingresa a la pestaña “Access control” y se
agregan las direcciones a la “Whitelist”.
Figura 466. Sitios web permitidos
Fuente: Autor
Figura 477. Verificación de la Restricción de Playboy
Fuente: Autor
82
Las direcciones agregadas a la “whitelist” no tienen restricciones por lo cual se puede acceder
a ellas de forma normal. Efectivamente se puede acceder a “softonic” sin ningún problema
(Figura 48) al igual que a “Facebook.com” (Figura 49).
Figura 488. Acceso a www.softonic.com Fuente: Autor
Figura 499. Acceso a www.facebook.com
Fuente: Autor
14.2 RESTRICCIÓN POR TAMAÑO DE DESCARGA DE LA PÁGINA
La restricción por tamaño de descarga corresponde a la política vista en el capítulo 12.4.
SQUID también permite realizar una restricción de acuerdo al tamaño de la página que se está
descargando, lo cual resulta en un enorme beneficio al evitar la navegación hacia páginas con alto
contenido que pueda sobrecargar el ancho de banda de la red. Para crear ésta restricción se
ingresa a la pestaña “Traffic Mgmt” y luego se ingresa el tamaño máximo en Kilobytes que
puede pesar la página a la cual se quiere acceder. Para el ejemplo se tratara de ir hacia la página
83
de softonic, para ver que efectivamente la restricción está funcionando. Anteriormente se pudo
ingresar a ésta página sin ningún problema.
Figura 500. Restricción por Tamaño de descarga de la página
Fuente: Autor
La restricción creada funciona perfectamente (Figura 51) y además brinda información sobre
la razón por la cual no se puedo acceder a la página solicitada, lo que facilita que el usuario no
trate de volver a intentar acceder a páginas cuyo contenido es muy pesado para la red.
Figura 511. Verificación de la restricción por tamaño Fuente: Autor
Otro ejemplo claro es cuando se trata de acceder a una página web que ofrece contenido de
videos como “YouTube.com”. Se observa que la restricción funciona de igual manera. Esto evita
que los usuarios pierdan tiempo viendo videos en internet y se dedique más al trabajo.
84
Figura 522. Verificación de restricción por tamaño
Fuente: Autor
14.3 INGRESO A INTERNET A TRAVÉS DE AUTENTICACIÓN
El acceso a internet por autenticación corresponde a las políticas vistas en los capítulos 12.1 y
12.2. A través de la utilización de PFSENSE el encargado de administrar las cuentas de usuario y
las contraseñas, es únicamente el administrador debido a que el programa no permite que los
usuarios lo hagan a través de alguna herramienta. SQUID también permite ingresar a internet a
través de una autenticación con cuentas de usuario creadas por el administrador de la red,
permitiendo un acceso más controlado para el acceso a internet a través de la red LAN de la
empresa. Esto permitirá que los visitantes que se conecten a la red no puedan disponer del
internet hasta que no se les genere un usuario y una contraseña, por lo que el uso de internet será
más controlado.
Para poder utilizar el método de autenticación de usuario es necesario deshabilitar el proxy
transparente en la configuración general.
85
Figura 533. Desactivación del Proxy transparente
Fuente: Autor
Posteriormente se ingresa a la pestaña “Auth Settings” en la cual se debe elige el método por
el que se va a realizar la autenticación. El método elegido para la práctica será el “Local”, debido
a que solo se dispone de una red LAN cableada. El método LDAP funciona con el servicio de
Windows “Active Directory”, el cual no está instalado en la zona desmilitarizada (DMZ), debido
a que no hace parte de la práctica. Radius se utiliza para redes wireless mientras que NT domain
se utiliza con dominios, por lo tanto solo se implementará el método “Local”.
Figura 544. Selección del método de autenticación Fuente: Autor
El método de autenticación mediante LDAP es la solución preferida para los entornos de red
medianos y grandes. Los usuarios deben autenticarse para acceder a sitios web mediante la
introducción de un nombre de usuario y una contraseña válidos. Las credenciales se verifican con
un servidor externo utilizando el Lightweight Directory Access Protocol (LDAP). Autenticación
LDAP será útil si se tiene ya un servicio de directorio en la red y no se quiere mantener cuentas
de usuario adicionales y contraseñas para el acceso web.
86
El método de autenticación Windows es la solución preferida para los entornos de red
pequeños y medianos. Los usuarios deben autenticarse para acceder a sitios web. Las
credenciales se verifican contra un servidor externo que actúa como controlador de dominio.
• Windows NT 4.0 Server o Windows 2000/2003 Server (incluso con Active Directory
habilitado)
• Samba 2.x / 3.x Server (funcionando como controlador de dominio)
Figura 555. Adición de nuevo usuario Fuente: Autor
El nuevo usuario tendrá un “Username” y un “Password”, que para el caso será “prueba1” y
“123” respectivamente. Después se da guardar para activar los cambios y de esta manera queda
configurado el usuario que tendrá acceso a internet.
Figura 566. Configuración del nuevo usuario Fuente: Autor
Sin embargo para que los usuarios puedan acceder a internet a través del proxy, es necesario
configurar los navegadores de los clientes para que utilicen el proxy 172.16.1.1 con el puerto
87
3128. Esta configuración se realiza porque el proxy ya no es transparente. El puerto por el que se
puede conectar a los usuarios con el proxy es mostrado en la configuración general del proxy.
Figura 577. Puerto para acceder hacia internet a través del proxy
Fuente: Autor
Figura 588. Configuración del navegador por puerto
Fuente: Autor
Cuando se abre el navegador web, automáticamente aparece una ventana solicitando los datos
de usuario y contraseña para poder utilizar el servicio de internet a través de la dirección
172.16.1.1. Una vez ingresados los datos correctos, se puede acceder a internet de forma normal.
Figura 599. Autenticación para acceder a internet Fuente: Autor
88
Cuando el modo trasparente está activado todas las solicitudes de los usuarios para el puerto
80 serán redirigidos automáticamente a este puerto 3128. Este puerto se tiene en cuenta cuando el
proxy no está habilitado en modo transparente, debido a que los usuarios deberán conectarse al
proxy a través de estos puertos.
14.4 RESTRICCIÓN POR IP
La restricción por IP corresponde a la política vista en el capítulo 12.2. Una herramienta
importante permite restringir el acceso a internet por la dirección IP de los terminales de la red
LAN, lo cual controla el acceso a internet de una forma más drástica, debido a que es posible que
los usuarios compartan sus datos de autenticación para acceder a internet con otras personas
unidas a la red LAN. Además permite no solo bloquear una dirección IP, sino que se pueden
bloquear varias direcciones. Para bloquear varias direcciones, éstas deben ir cada una en una
línea nueva. Para el ejemplo solo se bloqueara el cliente número 1.
Las direcciones se agregan en “Banned host addresses”, localizado en la pestaña de “Access
control”.
Figura 60. Bloqueo de usuarios por dirección IP
Fuente: Autor
El cliente 1 tiene la dirección IP 192.168.101.2 (Figura 61) que muestra la configuración del
adaptador de red del sistema operativo del mismo.
89
Figura 601. Dirección IP del cliente 1
Fuente: Autor
La restricción por dirección IP fue exitosa (Figura 62) y lo más importante es que ni siquiera
aparece la ventana para que el usuario se autentique.
Figura 612. Restricción por IP exitosa
Fuente: Autor
Para comprobar que ésta restricción solo afecta al cliente 1, se accederá a internet con el
cliente 2. Éste cliente debe estar configurado de la misma forma que el cliente 1. El cliente 2
tiene la dirección IP 192.168.102.2 (Figura 63), la cual fue suministrada por el router a través del
protocolo DHCP.
90
Figura 623. Dirección IP del cliente 2 Fuente: Autor
El cliente 2 puede acceder a internet (Figura 64), siempre y cuando tenga una cuenta de
usuario para ello. En este momento el cliente 2 podría usar la misma cuenta de usuarios que se
generó anteriormente para el cliente 1, por lo que la restricción por dirección IP es una forma más
efectiva de bloquear el acceso a internet, a las terminales que no lo necesiten.
Figura 634. Cliente 2 accediendo a Internet
Fuente: Autor
SQUID puede restringir direcciones URL específicas, sin embargo por sí solo no es capaz de
bloquear dominios de internet como por ejemplo “facebook.com” o “playboy.com” entre otros.
Esto permite que se pueda acceder a éstas páginas con direcciones URL diferentes pero que
91
llevan al mismo sitio, como por ejemplo “es-es.facebook.com” que re direcciona hacia el portal
de Facebook. Es decir que sí se bloquea Facebook con la dirección “www.facebook.com”, se
podrá acceder a Facebook con la dirección “es-es.facebook.com”. Es por esto que SQUID cuenta
con un complemento que permite restringir el acceso a ciertas páginas web a través del dominio y
más herramientas que serán mostradas a continuación.
Para poder utilizar el complemento de Squid, denominado Squidguard, se debe instalar de la
misma forma como se instaló el servidor proxy Squid, a través del instalador de paquetes de
Pfsense. Una vez instalado se podrá acceder al servicio a través de la pestaña “Services” y luego
dando clic en la opción “Proxy filter”
Figura 645. Ingresando a Squidguard
Fuente: Autor
Posteriormente se debe habilitar el servicio seleccionando la casilla “Enable” y pulsando el
botón “Apply”.
Figura 656. Habilitación del servicio SquidGuard
Fuente: Autor
92
14.5 RESTRICCIÓN POR DOMINIOS
La restricción por dominios se realiza a través de la pestaña “Targetcategories”, allí se debe
agregar el nombre a la categoría y los dominios que se quieren restringir, en este caso serán los
dominios de “facebook.com” y “wikipedia.org”. Para agregar varios dominios, éstos deben ir
separados por un espacio en blanco.
Figura 667. Configuración de la categoría de restricción
Fuente: Autor
Después de lo anterior se debe crea un grupo al cual aplicar la categoría creada, por lo que se
ingresa a la pestaña “Groups ACL” y se da clic sobre el botón que tiene un signo “+”.
El grupo ACL que se crea, recibe el nombre de “WEB_ACL”. En el campo “Cliente (source)”
se asigna la dirección IP del equipo al cual le va a aplicar la ACL. En el caso que se quiera
aplicar la ACL a una red completa, se debe colocar el identificador (ID) de red con la respectiva
mascara.
Figura 678. Asignación del cliente al grupo “WEB_ACL” Fuente: Autor
93
Para definir la regla de acceso, se oprime el botón y se busca la categoría creada
anteriormente “dom_denegados”, ésta categoría no tendrá acceso a los dominios ingresados en
“Target categories” y se aplicara al grupo “WEB_ACL”, que para el caso solo está compuesto
por la dirección IP 192.168.102.2.
Figura 689. Definición de la regla de acceso para el grupo
Fuente: Autor
La restricción se está aplicando de forma correcta (Figura 70), por lo que al momento de
acceder a la página web de Facebook, aparece un mensaje de error mostrando información de la
razón por la cual no se puede acceder al sitio. El mensaje de información permite saber que el
cliente pertenece a un grupo cuyo objeto es denegar el acceso Facebook.
Figura 690. Restricción por grupo Fuente: Autor
14.6 RESTRICCIÓN POR TIEMPO
La restricción por tiempo se puede utilizar para implementar una nueva política en el capítulo
de control de acceso, puesto que permite el acceso a internet o a determinados sitios web durante
un determinado tiempo. El proxy también permite la restricción de acceso a ciertos sitios web por
intervalos de tiempo. La regla de tiempo va a permitir denegar el acceso a internet en un horario
específico, permitiendo que los usuarios accedan de forma temporal a sitios web como Facebook,
94
por lo menos una hora al día, o a otros sitios. Está posibilidad ayudara a que los usuarios de la red
no se sientan tan agobiados por el control que se les hace. Sin embargo también se puede denegar
el servicio en un intervalo de hora específica, la cual puede ser, según algún análisis en la
empresa, la hora en la cual se consume mayor ancho de banda por visitar un sitio web. Ésta
restricción funciona en conjunto con las demás restricciones creadas anteriormente.
Para implementar el control por tiempo se accede a la pestaña “Times”, en la cual se agrega
una nueva regla. La regla se define con el nombre de “acceso_temp”. Los valores que se
configuran para crear el acceso temporal son:
Time type: Se utiliza para especificar el tipo del tiempo en el cual se va crear la
restricción; en éste caso se toma la opción de “Date” para poder seleccionar las fechas de
restricción.
Days: Se utiliza para establecer los días en los cuales se aplicara la restricción; en éste
caso se aplica todos los días de la semana.
Time range: Rango del tiempo en horas para denegar el acceso a internet, en éste caso, es
en el horario de 3 a 5 de la tarde.
Figura 701. Restricción por tiempo
Fuente: Autor
14.7 RESTRICCIÓN POR EXPRESIONES
Las restricciones por expresiones que permiten denegar el acceso a sitios web, que tengan
palabras en las URL especificadas por el administrador de la red. Esto se aplica al caso en el cual
95
se desconocen sitios potencialmente peligrosos para la empresa, debido a que si no se restringen
dominios específicos o las URL específicas de los sitios, es posible acceder a éstos a través de
búsquedas por Google. Esto permite una mayor seguridad mientras se actualizan las listas de
dominios restringidos.
Para realizar las restricciones por expresiones se utiliza la pestaña “Target categories”, en la
cual ya existe una categoría creada previamente que se edita para agregar las expresiones a
restringir. Una vez allí, se escribe en al campo “Expressions” las expresiones que se bloquearán,
en este caso son sexo y porno. Cuando se quiere agregar varias expresiones, éstas debe ir
separadas por “|”. Se han puesto las expresiones que dirigen a páginas de pornografía, debido a
que ciertas páginas de este tipo, podrían contar con programas o código mal intencionado, con el
objetivo de afectar a los usuarios y descargar virus hacia ellos. También se podrían usar
expresiones que permitan denegar el descubrimiento de herramientas para generar violencia,
como por ejemplo bomba, molotov, papa explosiva, hace, crack, entre otras.
Figura 712. Restricción por expresiones
Fuente: Autor
Cuando el usuario trata de buscar la palabra “porno” en Google (Figura 73), inmediatamente
aparece el mensaje de error que se editó anteriormente, indicando que se está tratando de acceder
a un sitio denegado.
96
Figura 723. Verificación de restricción uno Fuente: Autor
La segunda expresión es denegada de forma correcta (Figura 74) de acuerdo a la configuración
del administrador de red.
Figura 734. Verificación de restricción dos Fuente: Autor
97
15. CONCLUSIONES
Al realizar el diseño de las políticas de seguridad de una red de datos, es de vital importancia
siempre primero definir los requerimientos de seguridad que la red necesita para que de esta
manera las políticas respondan de forma correcta ante las necesidades de la misma. Sin embargo
antes de definir los requerimientos de seguridad de cualquier red de datos, primero se debe tener
una idea general o conocer la estructura y los servicios que se administraran en la red, puesto los
requerimientos se deben diseñar para que se adapten al crecimiento de la empresa.
De acuerdo a lo anterior, en la topología de red propuesta, la seguridad es administrada de
forma centralizada, permitiendo administrar la seguridad de forma sencilla. Sin embargo, esto
también conlleva un riesgo grave de seguridad puesto que si este servidor donde se administra la
seguridad se llega a afectar por algún daño por causas externas o internas, la red podría caerse y
hacer a la empresa perder mucho dinero por falta de continuidad en el negocio. Es por esto que,
la mejor forma de asegurar la correcta administración de la red, es colocando un segundo servidor
en paralelo que funcione en caso de que el principal falle. Otra alternativa seria conservar
siempre una copia de la configuración de seguridad de dicho servidor (política de respaldo) para
que pueda ser aplicada de forma rápida a un servidor alternativo y de esta manera el servicio no
se afecte drásticamente.
Una vez fijados los requerimientos de acuerdo a la topología de la red y de las necesidades de
seguridad, se deben fijar las políticas de seguridad, las cuales deben ser lo más clara y
específicamente escritas para que todos los empleados sin excepción alguna, las entiendan de
forma inmediata y en las que no se presten para una segunda interpretación. Estas políticas no
solo tienen la función de fijar un reglamento para que los empleados sigan, sino que, además
estas deben concientizar a los empleados sobre los riesgos y la importancia de acatarlas al pie de
la letra.
Las políticas creadas se pudieron implementar en el servidor PFSENSE debido a que cuenta
con un servicio proxy, el cual es muy recomendable utilizar en una empresa para filtrar y crear
restricciones hacia los sitios de internet a los cuales se pueden conectar los usuarios y para
98
bloquear conexiones entrantes a la red por cuestiones de seguridad. Sin embargo, este debe ser lo
suficientemente eficiente para que no genere cuellos de botella y haga que la red funcione de
forma lenta.
El mejor proxy a implementar en una red de datos con la topología analizada en las prácticas
realizadas y de acuerdo a las políticas creadas, es el servidor PFSENSE con el servicio Squid,
justificado en que permite la fácil adaptación del servidor proxy y que no solo ayuda al
rendimiento de la red, sino que además permite garantizar la seguridad en la misma. Squid
además de prestar grandes beneficios a la red, dispone de complementos que le permiten ser una
herramienta aún más potente, para cumplir con los requerimientos de seguridad y
almacenamiento caché para el acceso a internet.
Squid permite el control de las conexiones y autenticación, debido a que es posible
configurarlo para que este realice conexiones solamente con sitios permitidos así como también
puede interactuar con servidores de autenticación como RADIUS. Además, permite restricciones
por IP, por cuentas de usuario, por tiempo, por expresiones y por tráfico, entre muchas otras.
El servidor proxy puede hacer un filtrado de páginas o contenidos en base a criterios de
restricción establecidos por el administrador dependiendo de valores y características no
permitidas, creando una restricción cuando sea necesario. En base a la misma función del filtrado,
tiene el objetivo de proteger la privacidad en Internet, puede ser configurado para bloquear
direcciones y expresiones regulares y modifica en la petición el contenido. PFSENSE además de
permitir todo lo anterior a través de Squid, permite implementar aún más políticas de seguridad
para aumentar la seguridad de la red, pero que por la complejidad y la extensión en la
profundización requerida para tal trabajo, no fueron contempladas en el presente trabajo puesto
que con lo visto en el documento, permitirá tener una base para administrar la seguridad en una
red de datos de forma básica..
99
16. REFERENCIAS
Leonardo Flores Barrios, Mtro. Mario Soto del Ángel, Mtro. Othón Darío Camacho Díaz,
Mario Alberto Barrera Reyes. Evaluación del impacto de los sistemas de gestión de seguridad de
la información bajo la serie ISO/IEC 27001 en empresas de la ciudad de Tuxpan,
Veracruz. Revista de la Alta Tecnología y la Sociedad. 2011; Volumen 5(1).
Ministerio de Interior y de Justicia, Ministerio de Relaciones Exteriores, Ministerio de
Defensa Nacional, Ministerio de Tecnologías de la Información y las Comunicaciones,
Departamento Administrativo de Seguridad, Departamento Nacional de Planeación-DJSG-DIFP-
DIES-OI Fiscalía General. Documento CONPES: Lineamientos de política para ciber seguridad y
ciber defensa http://www.mintic.gov.co/portal/604/articles-3510_documento.pdf. Updated 2011.
Rivera, C. Beneficio de las Redes.; 2008
Mifsud, E. Introducción a la seguridad informática.; 2012
Rodríguez, H. Firewall y Proxy.; 2008.
Intercap. Administración de redes de computadoras. ; 2006.
Verón, J.Practicas de Servicios en Red.; 2009.
Macías, M. Modelos básico de administración de red.
Alarcón, R. Gestión y administración de redes como eje temático de investigación.; (2007)
Pastor, P. Intranet: un sistema para la gestión de información.; 1998
Mauricio Manriques, Jorge River, Jose Hernandez. (2009). In Escuela Superior de Ingeniería
Mecánica y Electrica (Ed.), Conceptos elementales para el diseño de redes LAN
Budris, P. Administrador de redes windows. Buenos Aires: Fox Andina;Dalaga.; 2011
Stephan Windmuller. Simplifying firewall setups by using offline validation. Journal of
Integrated Design and Process Science. 2013;17(3)
Grennan, M. Cortafuegos y servidor proxy.; 2013
100
Security Network. What DMZ is and what it means for your business?.; 2007.
Carlos Silva Ponce. Seguridad de las redes y sistemas de telecomunicaciones críticos.
AHCIET Revista de Telecomunicaciones. 2009.
Raymundo Pérez. Documento normativo para implementación de políticas de seguridad en la
red de telecomunicaciones. Revista técnica de la empresa de telecomunicaciones en Cuba. 2008.
Jose Arana, Leandro Villa, Oscar Polaco. Implementation of network access control by using
authentication and accouting protocols. Escuela de Ingeniería Electronica y Electrica. 2012.
Kelly Martínez,Javys Pacheco ,Isaac Zúñiga. Firewall – linux: Una solución de seguridad
informática para pymes (pequeñas Y medianas empresas). Revista de facultad de Ingenierias
Fisicomedicas. 2009.
Elvira Mifsud. Introducción a la seguridad informática – Seguridad de la
información/Seguridad informática [En línea].
<http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040-
introduccion-a-la-seguridad-informatica?start=1> [Citado el 20 de agosto de 2014]
Universidad de Salamanca. Seguridad de las redes y de la información: Propuesta para un
enfoque político europeo [en línea].
<http://campus.usal.es/~derinfo/derinfo/SEGURID/netsec_es.pdf> [Citado el 18 de agosto de
2014]
Rubén Bustamante Sánchez. SEGURIDAD EN REDES [En línea].
<http://www.uaeh.edu.mx/docencia/Tesis/icbi/licenciatura/documentos/Seguridad%20en%20red
es.pdf> [Citado el 22 de agosto de 2014]
Elvira Mifsud. Introducción a la seguridad informática – políticas de seguridad [En línea].
<http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040-
introduccion-a-la-seguridad-informatica?start=4> [Citado el 24 de agosto de 2014]